Dużą popularność na Wykopie zdobyła ostatnio informacja o badaniu, które przeprowadzili autorzy bloga Zaufana Trzecia Strona. Sprawdzili oni, które serwisy przesyłają użytkownikom hasła w postaci jawnej, jeśli zdarzy się im hasło zapomnieć i skorzystać z opcji odzyskiwania. Czytelnicy w komentarzach zaczęli zgłaszać kolejne strony.

Na liście znajduje się już 28 serwisów, m.in. intercity.pl, epuls.pl, renault.pl, eurosportplayer.pl, carlsberg.pl i inne. Każda informacja została opatrzona zrzutem ekranu, na którym widać, że dany serwis przesłał „stare” hasło otwartym tekstem. Kilka stron, w tym wiadomosci24.pl i racjonalista.pl, po nagłośnieniu problemu zaprzestały takich praktyk.

Przy okazji wyszło na jaw, że hasła w postaci niezaszyfrowanej przesyłają zapominalskim klientom także sklepy internetowe oparte na silniku IAI-Shop. Czy wszystkie? Nie wiadomo. O IAI pisaliśmy ostatnio w kontekście postanowienia sądu, które można uznać za pierwszy sukces firmy w walce z Google. W styczniu br. strony ponad tysiąca obsługiwanych przez nią sklepów zostały bowiem omyłkowo zablokowane przez mechanizm ostrzegający przed phishingiem.

Z oczywistych względów autorzy bloga przetestowali tylko kilka z nich. Wysłali do IAI stosowne zapytanie, ale nie otrzymali jeszcze odpowiedzi. Gdyby firma potwierdziła, że e-sklepy oparte na jej silniku przesyłają hasła użytkowników otwartym tekstem, mielibyśmy do czynienia z poważnym problemem.

Czytaj także: Czy GG przechowuje hasła w postaci jawnej?

Temat przechowywania haseł w postaci niezaszyfrowanej przewija się na naszych łamach już nie pierwszy raz. Dwa tygodnie temu kontaktowaliśmy się w tej sprawie z Generalnym Inspektorem Ochrony Danych Osobowych, który udzielił jednoznacznej odpowiedzi:

Sposób odzyskiwania zapomnianego hasła za pomocą poczty elektronicznej na adres podany podczas zakładania konta użytkownika, bez jednoczesnego wymuszenia zmiany tego hasła na inne, nie jest metodą bezpieczną. Przesyłane w ten sposób hasło może zostać przechwycone przez nieuprawnione osoby (...) Przechowywanie haseł w bazie danych systemu w postaci jawnej jest niedopuszczalne z punktu widzenia bezpieczeństwa systemu i jego użytkowników, gdyż włamanie się do takiego systemu równoznaczne jest z kradzieżą tożsamości wszystkich zarejestrowanych w danym systemie użytkowników i stworzenie możliwości nadużyć.

Istnieje duże prawdopodobieństwo, że hasła przesyłane do użytkowników otwartym tekstem w ten sam sposób są przechowywane w bazie danych serwisu. Jeśli dojdzie do włamania (a nikt nie jest w stanie zagwarantować, że to nie nastąpi), atakujący otrzyma wszystkie mniej i bardziej poufne dane jak na tacy.

Jest też inna możliwość, o której wspomina GIODO. Hasła można zaszyfrować algorytmem odwracalnym - w takim przypadku w bazie będą one przechowywane w postaci zaszyfrowanej, ale można je będzie odszyfrować i przesłać użytkownikowi w postaci jawnej. Czy to bezpieczne? Samo przechwycenie bazy danych włamywaczowi nie wystarczy - potrzebny będzie jeszcze klucz szyfru. Szkopuł w tym, że będzie on przechowywany zapewne na tym samym serwerze, co baza danych, jeśli więc ktoś uzyska nad nim kontrolę, to klucz odszuka, a wtedy bez problemu dane odszyfruje.

Czytaj także: Hashowanie haseł użytkowników - czy to konieczne?

Co wobec tego zalecają specjaliści ds. bezpieczeństwa? Przede wszystkim hashowanie haseł przy użyciu jednostronnej funkcji skrótu - najlepiej SHA-2, który zapewnia większą odporność niż SHA-1, nie mówiąc już o MD5. Algorytmy tego typu można złamać metodą brute force lub przy użyciu tęczowych tablic (ang. rainbow tables). Żeby temu zapobiec, stosuje się „solenie”, czyli doklejanie do hasła - przed jego skróceniem - np. 100-znakowego ciągu definiowanego w kodzie (ang. salt).

Jak w takim przypadku zadziała opcja przypominania hasła? Użytkownik otrzyma e-mailem link pozwalający na jego zresetowanie. I to właśnie powinno być normą.