15:50
22/7/2014

Oto, jaką wiadomość otrzymał jeden z naszych czytelników od obsługi technicznej. Pewnie w większości przypadków Specjalista ds. Technicznej Obsługi Klienta i tak w odpowiedzi otrzymuje “123” lub “!@#“, ewentualnie “789” albo “RTY“/”WSX” ;-)

Facebook

Oraz co, w momencie, w którym ktoś ma tylko 3 znakowe hasło? ;-)

PS. Inny z czytelników zwraca uwagę na to, że dostęp do panelu klienta w linuxpl.com można odzyskać uwierzytelniając się …skanem dowodu osobistego lub w przypadku firmy — KRS-u (który pozyskać może każdy). Aktualizacja: KRS musi być opieczętowany.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.


24 komentarzy

Dodaj komentarz
  1. Mam rozumieć ze hasla przechowuja w czystym tekscie? Czy ostatnie 3 znaki zapisuja w osobnym polu w bazie? :|

    • Hasło w czystym tekście to mały pikuś przy skanie dowodu. Wyciek takich danych może skutkować wzięciem kredytu (co najmniej). Skanów kart płatniczych nie przyjmują? Z obu stron, ma się rozumieć.

    • Niestety nie tylko oni żądają dowodu osobistego. Kiedyś miałem taką sytuację z allegro – próbowałem zmienić konto bankowe które podałem dość dawno a potem je zamknąłem, a że zawsze kupowałem to nie było potrzebne. Gdy chciałem coś sprzedać okazało się że mam stare konto więc postanowiłem je zmienić, no i tu największy hit – konto można zmienić tylko na podstawie kodu który jest wysyłany z każdym przelewem ale ja go nie miałem bo nie miałem żadnego przelewu lub… no właśnie – na podstawie kserokopii przesłanego skanu dowodu… Pomimo moich usilnych prób ominięcia tego, nie udało się i musiałem wysłać ten skan. Zapewniano mnie że te dokumenty po weryfikacji są niszczone ale ja im nie ufam. Nie wierzę że mają jakieś specjalne procedury typu komisja, komisyjne otwarcie i niszczenie. Czekam na kredyt na moje konto ale na szczęście nic takiego się nie zdarzyło.

    • A może jednak nie?

      http://www.smartarchitects.co.uk/news/9/15/Partial-Passwords—How.html

  2. Jeżeli Specjalista ds. TOK prosi o taką weryfikację to oznacza to, że hasło trzymają w postaci nieszyfrowanej. Takiemu klientowi radziłbym rezygnację z usług tej firmy.

  3. Kiedyś na nazwa.pl (lub z mniejszym prawdopodobieństwem Home) aby uwierzytelnić się na chacie, trzeba było podać 3 losowo wybrane przez obsługę litery hasła.

  4. Szyfrowanie haseł to relikt web 2.0, nowoczesne firmy tego nie robią :D

  5. Jak dobrze pamiętam, to tutaj też tak było: domena.pl

    • Bo to ta sama firma – Agnat z Bydgoszczy. Miałem tam kiedyś (nie)przyjemność pracować.

  6. Mieli “maskowane” “inputy” zanim bylo to modne :D

    • To komentarz do wypowiedzi Jana…z wersji mobilnej nie da sie odpowiedziec na pojedynczy komentarz :/

  7. Ale głupoty piszecie odnośnie PS ;). Dokumenty w oryginale poświadczone pieczątką organu, nie zwykły skan KRS bosz…

    • To też nie jest większy problem dla “hackera” – wystarczy mieć jakąś umowe z ofiarą, w umowie lista załączników, wśród nich odpis KRSu…

  8. Kiedyś obsługa jednego z portali aukcyjnych zapytała mnie o to prze telefon. Chcieli trzy losowo wybrane (przez nich) litery z hasła. Wykazałem się refleksem i zapytałem, czy pani poda mi przez telefon 3 znaki swojego hasła. Pani zaniemówiła, a potem powiedziała mi “takie-mamy-proce-duże”. Jak nie podam, to mi nie pomoże. Podałem. Wolną ręką szukałem na stronie opcji zmieniania hasła.

  9. “Aktualizacja: KRS musi być opieczętowany.”
    No i co w tym trudnego? Dodatkowe 2 minuty w fotoszopie. ;)

    • Tak to do wszystkiego można podejść ;). Jest sąd cywilny i paragrafy na takie podrabianie.

    • Z takim podejściem to żaden bandzior nie straszny, w końcu jest policja, sąd, prokurator. Można się sądzić do woli, tylko komornik dom zabierze.

  10. “Oraz co, w momencie, w którym ktoś ma tylko 3 znakowe hasło? ;-)”

    Będzie ciężko bo formularz krzyczy o:
    “Hasło powinno zawierać od 8 do 30 znaków
    Hasło powinno zawierać min jedną wielką literę
    Hasło powinno zawierać min jedną cyfrę
    Hasło powinno zawierać min jeden znak specjalny”

  11. “Oraz co, w momencie, w którym ktoś ma tylko 3 znakowe hasło? ;-)”

    To będzie wówczas oznaczało, że jest idiotą, który nie zdaje sobie sprawy, że takie hasełko jest banalne do złamania. A potem będzie robił wyrzuty obsłudze, że ktoś mu się wkradł na konto…

    • Nie koniecznie. Atakujący sprawdzi minimalną długość hasła i od niej zacznie je łamać. Kiedyś do GG miałem dwu znakowe hasło. Potem GG wprowadziło ograniczenia na minimalna długość hasła podczas rejestracji. Ciekawe który atakujący próbował by hasła krótsze od minimalnej długości? :)

  12. Nie jestem spec. ds. kryptografii, ale zapewne mają system oparty na szyfrowaniu stosowanym w bankach, gdzie również podajemy systemowi losowe pola. Ciekawi mnie bezpieczeństwo takiego rozwiązania czy przypadkiem nie jest one zależne od klucza?

  13. Swoją drogą, gdy tak mowa o hasłach w czystym tekście – przypomniało mi się, jak na praktykach na studiach rozwijaliśmy taki wewnętrzny CRM-ik, gdzie na potrzeby testów miałem utworzonych kilka kont z hasłami w stylu `123456`, `654321` etc. Pewnego razu wpisałem hasło od złego konta (zamiast 123456 wpisałem 654321) i odziwo…zalogowało mnie. Zacząłem grzebać w kodzie, i jakiego kwiatka znalazłem? Otóż poprzedni praktykanci wymyślili sobie, że genialnym sposobem “zaszyfrowania” haseł będzie…przekonwertowanie każdego znaku w haśle na integer (wg tabeli ascii), a następnie zsumowanie otrzymanych liczb i przechowywanie w bazie właśnie tej sumy. Efektem było oczywiście to, że do jednego konta pasowało mnóstwo haseł (np. dla oryginalnego ‘123456’ pasowała każda permutacja tych znaków, i wiele innych kombinacji). Co więcej – po zgłoszeniu tego naszemu “opiekunowi” odrzekł on, że wie o tym i to zaakceptował przed implementacją :D ległem :D

    • Czyli poprzedni praktykanci wymyślili sobie funkcję skrótu – warto w tym miejscu przypomnieć, że tworząc jakikolwiek system gdzie potrzebne są rozwiązania z dziedziny kryptografii NIE należy niczego wymyślać (algorytmów szyfrowania itp.) – jest olbrzymia szansa, że zrobimy to gorzej (wręcz fatalnie) w porównaniu do gotowych rozwiązań.

  14. na pewno maja md5 z kazdego znaku hasla :P – szyfrowane – szyfrowane, a ze z du** to juz inna sprawa :)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: