Obroty sklepów ważniejsze od bezpieczeństwa haseł klientów?

07-11-2012, 11:57

Chcesz kupić coś w sklepie obsługiwanym przez IAI-Shop, ale zapomniałeś hasła do swego konta? Nie martw się, administrator wyśle Ci je otwartym tekstem. Takie rozwiązanie "zwyczajnie się opłaca sklepom internetowym, zwłaszcza tym większym" - przekonują twórcy platformy.

Kuriozalne tłumaczenie IAI-Shop
fot. di24.pl - Kuriozalne tłumaczenie IAI-Shop
Dziennik Internautów nieraz piętnował usługi, które w nienależyty sposób przechowują dane korzystających z nich osób. Twórcy Zaufanej Trzeciej Strony posunęli się jeszcze dalej, tworząc listę serwisów, które w procesie odzyskiwania hasła przesyłają je zapominalskim użytkownikom otwartym tekstem. Okazało się, że praktykę taką stosują m.in. sklepy internetowe oparte na silniku IAI-Shop.

Twórcy platformy, zajęci sporem z wyszukiwarką Google, długo zwlekali z wyjaśnieniami. Aż wreszcie wczoraj, 6 listopada, opublikowali obszerny komunikat pt. Dlaczego podczas przypominania hasła jest ono wysyłane klientowi na e-mail? Tłumaczenie jest tak kuriozalne, że nie omieszkałam zrobić zrzutu ekranu na dowód, że istnieje.

Łatwiej założyć nowe konto niż zresetować hasło?

Powołując się na raport Adobe Digital Index, autorzy komunikatu wskazują, że utrudnianie klientowi zostania wielokrotnym klientem grozi poważnymi stratami dla klientów internetowych. Według IAI-Shop takim utrudnieniem jest bezpowrotne tracenie haseł klientów poprzez ich „haszowanie” (pisownia oryginalna). Jak czytamy w przygotowanym przez spółkę wyjaśnieniu:

typowo zorganizowane przypominanie, wcześniej „zahaszowanego” hasła bazuje na wysłaniu e-maila z linkiem, po kliknięciu na który użytkownik musi wpisać nowe hasło. Jak wskazują nasze doświadczenia, przeprowadzone już kilka lat temu, przy tak zorganizowanym procesie, zwyczajnie wygodniejsze jest założenie przez klienta nowego konta.

Czyżby? Jak wynika z sondy przeprowadzonej przez redaktorów Niebezpiecznika, w której zagłosowało już 4310 osób, większość użytkowników (86%) woli jednak zresetować hasło niż założyć nowe konto. Ciekawie byłoby się zapoznać z badaniami twórców IAI-Shop, które przeczą wynikom tej sondy. Autorzy komunikatu twierdzą bowiem stanowczo:

haszowanie haseł klientów w sklepie internetowym, w naszej ocenie jest złym pomysłem i stosowanie takiego rozwiązania skutecznie zmniejsza obroty na powracających klientach. (...) Gdybyśmy zmuszali klientów do odzyskiwania haseł, obsługiwane przez nas sklepy internetowe traciłyby jeszcze więcej pieniędzy.

Czytając te słowa, nie sposób oprzeć się wrażeniu, że dobro właścicieli sklepów jest dla IAI-Shop ważniejsze niż dobro ich klientów. Nic zresztą dziwnego, skoro platforma zarabia właśnie na tych pierwszych. Według autorów komunikatu z usług IAI-Shop korzysta prawie 2000 sklepów i hurtowni internetowych, które generują łącznie ponad 350 tys. zamówień miesięcznie, osiągając sprzedaż na poziomie ponad 1 mld złotych w skali roku.

Chcesz mieć zahashowane hasło, loguj się przez Facebooka

Sonda
Czy logowanie do sklepu za pomocą Facebooka to dobry pomysł?
  • Tak
  • Nie
  • Nie wiem
wyniki  komentarze

Z obszernego wyjaśnienia twórców platformy wynika, że dostrzegają oni korzyści z hashowania haseł (w przypadku gdy hasło jest potrzebne do wykonania czegoś ważnego i klient jest zmuszony do użycia ponownie tego samego konta). Świadomie jednak zrezygnowali z tego zabezpieczenia, gdyż - jak twierdzą - dobierają scenariusze ściśle do konkretnego rozwiązania (z tego powodu np. hasła do paneli administracyjnych zostały zahashowane).

Właściciele e-sklepów niezadowoleni z takiego rozwiązania mogą uruchomić możliwość logowania się kontem zaufanej trzeciej strony, do czego IAI-Shop mocno zachęca. Wśród obsługiwanych serwisów znalazły się Facebook, PayPal i Google, można też aktywować mechanizm logowania do prowadzonego przez siebie sklepu z dowolnej witryny wykorzystującej standard OpenID.

Jakie ryzyko niesie niehashowanie haseł użytkowników

Kwestię tę dobrze wyjaśnia Niebezpiecznik (zob. IAI-Shop: nie hashujemy haseł, bo to się nie opłaca naszym klientom, zmniejsza obroty, grozi stratami). Krótko mówiąc, jeżeli ktoś włamie się do naszej skrzynki pocztowej, to nie będzie miało znaczenia, czy znajdzie w niej hasło przesłane otwartym tekstem, czy link do jego zresetowania - w obu przypadkach, jeśli zechce, dostanie się na nasze konto w e-sklepie.

Jeżeli sklep przechowuje hasła użytkowników w postaci jawnej, to zawsze istnieje ryzyko podejrzenia ich przez administratora danej platformy. IAI-Shop wspomina w swoim komunikacie o szyfrowaniu, ale pracownik bez trudu znajdzie przecież klucz na serwerze... podobnie jak włamywacz. Nie jest więc prawdą, że stosując szyfrowanie, osiąga się taki sam poziom bezpieczeństwa, jak przy hashowaniu (które nie pozwala na odtworzenie haseł). Po co pracownikowi/włamywaczowi nasze hasło?

Bezpieczne hasło - komiksJeżeli nie korzystamy z niego w żadnym innym serwisie, to pozyskanie takiego hasła rzeczywiście nic nikomu nie da. Wielu internautów, logując się na różnych stronach, używa jednak wciąż tego samego ciągu znaków. W takim przypadku wyciek może okazać się poważnym problemem. IAI-Shop może sobie dbać o proaktywną politykę bezpieczeństwa, która uniemożliwia ataki. Praktyka pokazuje jednak, że wycieki danych zdarzały się największym korporacjom i nie ustrzegli się ich nawet producenci rozwiązań zabezpieczających (ostatnio Symantec).

W takiej sytuacji ciężko uwierzyć, że sklepy obsługiwane przez IAI-Shop są bezwzględnie zabezpieczone przed włamaniem. Radę mam więc tylko jedną: korzystając ze sklepów opartych na tej platformie, stosuj unikalne, nieużywane nigdzie indziej hasło. Dowiedz się też, jak sprawdzić, czy serwis bezpiecznie przechowuje hasła.

Czy GIODO popiera praktyki IAI-Shop?

Wysłałam już w tej sprawie zapytanie do Generalnego Inspektora Ochrony Danych Osobowych - po otrzymaniu odpowiedzi artykuł zostanie zaktualizowany. Teraz natomiast chciałabym przypomnieć wypowiedź GIODO sprzed kilku miesięcy, kiedy to na prośbę Czytelnika sprawdzałam, czy GG przechowuje hasła w postaci jawnej:

Sposób odzyskiwania zapomnianego hasła za pomocą poczty elektronicznej na adres podany podczas zakładania konta użytkownika, bez jednoczesnego wymuszenia zmiany tego hasła na inne, nie jest metodą bezpieczną. Przesyłane w ten sposób hasło może zostać przechwycone przez nieuprawnione osoby (...) Przechowywanie haseł w bazie danych systemu w postaci jawnej jest niedopuszczalne z punktu widzenia bezpieczeństwa systemu i jego użytkowników, gdyż włamanie się do takiego systemu równoznaczne jest z kradzieżą tożsamości wszystkich zarejestrowanych w danym systemie użytkowników i stworzenie możliwości nadużyć.

Aktualizacja: Z odpowiedzią GIODO można zapoznać się w artykule pt. GIODO uznaje praktyki stosowane przez IAI-Shop za niezgodne z prawem.

Aktualizacja: 18.01.2017

Przeczytaj: Wyrok sądu potwierdził rzetelność krytyki Dziennika Internautów


Źródło: IAI-Shop, Niebezpiecznik, Zaufana Trzecia Strona
  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Sierpień 2019»
PoWtŚrCzwPtSbNd
 1234
567891011
12131415161718
19202122232425
262728293031