19:25
6/1/2010

Zaczynamy cykl artykułów upominający serwisy internetowe, które nie korzystają z żadnych mechanizmów bezpieczeństwa do ochrony haseł swoich użytkowników. Celem cyklu jest ostrzeżenie internautów przed ustawieniem w takim serwisie hasła, które wykorzystują też w innych miejscach. Na pierwszy ogień idzie popularny serwis ogłoszeniowy, Gratka.pl

“Pracownicy Gratki znają moje hasło”

Zgłoszenie dotyczące serwisu Gratka.pl dostaliśmy od naszego czytelnika o nicku BocHeN, który celem weryfikacji tożsamości został poproszony o trzy pierwsze litery hasła przez konsultanta biura obsługi klienta Gratki.

Próba przypomnienia hasła potwierdziła nasze przypuszczenia — serwis odsyła “stare” hasło użytkownika jawnym tekstem. Co to oznacza? To, że każdy, komu uda się dostać do bazy danych serwisu Gratka.pl (czy to legalnie, jako pracownik, czy nielegalnie poprzez włamanie) pozna hasła użytkowników.

Jak wiadomo, Polacy mają tendencję do używania tego samego hasła w wielu serwisach, a zatem istnieje duża szansa, że znaczna część użytkowników Gratki takie samo hasło ma i do swojego profilu na Naszej Klasie, jak i w Allegro, a nie daj $DEITY w swoim internetowym banku…

Doskonale zdajemy sobie sprawę, że sposób przechowywania haseł w bazie nie jest głównym wznacznikiem bezpieczeństwa serwisu — wychodzimy jednak z założenia, że warto dmuchać na zimne. Nigdy nie ma pewności, że gdzieś w serwisie nie czai się błąd typu SQL-injection, dający atakującemu dostęp do bazy…

Co na to Gratka.pl?

Zapytaliśmy właścicieli serwisu, dlaczego Gratka.pl nie szyfruje haseł użytkowników i otrzymaliśmy następującą odpowiedź od Bolesława Drapella, dyrektora ds. rozwoju:

Serwis powstawał 10 lat temu. Wtedy o takiej formie zabezpieczenia haseł nikt jeszcze nie myślał. Nasz serwis zmienia się dynamicznie, również w zakresie bezpieczeństwa danych, natomiast akurat ten aspekt związany z hashowaniem haseł, z kilku powodów, nie został jeszcze wdrożony.

Trudno odmówić racji panu Bolesławowi. Rozumiemy, że zmiana sposobu przechowywania danych przez tak duży serwis to nie tylko wyzwanie techniczne, ale również spora operacja logistyczna. Warto jednak wspomnieć, że spora część popularnych serwisów internetowych przez ostatnie 10 lat przeszła pewne przeobrażenia i zdołała podnieść poziom swoich zabezpieczeń do obowiązujących standardów… Szyfrowanie haseł to nie jest coś, z czym nie można sobie poradzić. Pan Bolesław na szczęście wspomina, że Gratka.pl jest w trakcie modernizacji serwisu i sposób przechowywania haseł zostanie zaadresowany.

Firma tłumaczy również, że hasło trzymane w formie jawnej umożliwia im łatwiejszą weryfikację tożsamości klientów podczas telefonicznego kontaktu z Biurem Obsługi Klienta.

W naszym serwisie ludzie nie udostępniają zbyt wielu danych o sobie, dlatego żeby móc potwierdzić tożsamość użytkownika komunikującego się z BOK pytamy o pierwsze trzy litery hasła. Dzięki temu wiemy, czy rozmawiamy z prawdziwym właścicielem konta. W przypadku przechowywania w bazie hashy haseł, tego typu weryfikacje nie byłaby taka prosta…

Niebezpiecznik.pl w rozmowie telefonicznej z przedstawicielem serwisu Gratka.pl, rozwiał obawy firmy dotyczące szyfrowania haseł. Wytłumaczyliśmy, że równie prosto można przeprowadzić weryfikację użytkownika, kiedy jego hasło nie jest trzymane w bazie jako plaintext. Pozostaje mieć nadzieję, że nasze uwagi zostaną wzięte do serca podczas modernizacji serwisu…

Apel do “mniej bezpiecznych” serwisów

Wiemy, że niektórzy właściciele upominanych przez nas serwisów mogą bagatelizować fakt trzymania haseł użytkowników w plaintekście i spierać się, czy hashowanie haseł podnosi bezpieczeństwo ogólne serwisu, czy nie. Takim osobom proponujemy kompromis — dodajcie poniższą informację do formularza rejestracyjnego, obok pola przeznaczonego na wpisanie hasła:

“Nie szyfrujemy twojego hasła. Jeśli ktoś włamie się na nasze serwery (co jest mało prawdopodobne), bez przeszkód pozna twoje hasło. Z tego powodu, nie używaj tego hasła w innych serwisach internetowych.”

Serwis Gratka.pl świeci tu dobrym przykładem — natychmiast po naszej rozmowie, w formularzu rejestracjnym Gratki pojawił się sugerowany przez nas komunikat:

Pytanie, ile osób zwróci uwagę na tak umieszczony komunikat podczas wypełniania pola 'hasło', którego on dotyczy?

Z naszego punktu widzenia, taki komunikat jak najbardziej jest przejawem troski o użytkownika i chociaż serwis nie jest na tyle profesjonalnydojrzały technicznie, żeby w bezpieczny sposób przechowywać hasło użytkownika, to przynajmniej gra ze swoimi użytkownikami w otwarte karty …no i podnosi ogólną świadomość bezpieczeństwa danego internauty.

P.S. Żeby nie było, że tacy źli jesteśmy, każdemu serwisowi, który chciałby podnieść/sprawdzić poziom ochrony przechowywanych danych lub miał pytania dotyczące innych kwestii związanych z bezpieczeństwem webaplikacji oferujemy swoją nieodpłatną pomoc. Wystarczy do nas napisać.

Przeczytaj także:

29 komentarzy

Dodaj komentarz
  1. To może teraz gigant.pl ?
    Już raz im zwracałem uwagę podczas kontaktu z serwisem… od tamtej pory ich nie odwiedzam – ciekawe czy zrobili coś w tej sprawie :)

  2. No to teraz wystarczy czekać na dobroczyńców co dostaną się do bazy i porozsyłają hasła po sieci, ciekawe co wtedy napiszą

  3. Dobrze, że redakcja zajmuje się takimi sprawami :) Może podniesie to troszke bezpieczeństwo w sieci. Świetny pomysł z tym komunikatem podczas rejerstracji. Ja osobiście tak na wszelki wypadek mam wiele różnych chaseł (prostszych i trudniejszych) w zależności od tego gdzie zakładam konto i jak bardzo mi na nim zależy ;]

  4. Bez przesady z tym wyzwaniem logistyczny, zmiana sposobu przetrzymywania haseł i ich porównywania to kwestia max dnia dla 1 spośród kilkunastu (ty kumatych) programistów gratki ;-) To nie jest jedyny duży serwis, który te hasła przechowuje, inni są po prostu trochę sprytniejsi i tego nie pokazują userom…

  5. Rowniez calkiem spory serwis, bo http://www.gry-online.pl, nie dawno przypomnial mi haslo plain textem. Byc moze nadal tak to funkcjonuje – warto sprawdzic.

  6. niestety z osobistej praktyki wiem, ze home.pl i active24.pl tez trzymaja hasla plaintext i tez uzywaja podobnego “systemu”autentykacji dzwoniacego :D

  7. Aegon.pl
    z tego co pamietam zablokowalem sobie konto i przy telefonicznym odblokowaniu pani poprosila mnie o jakies 2 losowe litery z hasla. Po tym jak minelo uradowanie z odzyskania dostepu, doznalem szoku jak uswiadomilem sobie co to oznacza.

    Moze i tu warto zwrocic uwage o problemie – tutaj juz ludzie trzymaja swoja gotowke..

  8. 1. rapidshare.com nie dość, że trzyma hasła plaintextem to jeszcze co miesiąc wysyła przypomnienie o płatności e-mailem z podanym hasłem ;-)
    2. TPSA trzyma plaintextem hasła do uwierzytelniania podczas łączenia ADSL do neostrady (a na pewno kiedyś trzymała) – wiem stąd, że konsultant na błękitnej lini był mi łaskaw je przeczytać mówiąc, że jest bardzo skomplikowane i pewnie przez to nie chce się połączenie zgwizdać ;-)

  9. To, że są takie serwisy to się nie dziwię. Dobrze, że planujecie o nich pisać, bo warto im o tym mówić. Ale na koniec muszę powiedzieć, że mimo średnio dobrego wytłumaczenia (chyba, żę znamy za mało szczegółów i ma ono jakieś podstawy merytoryczne) – to jednak zareagowali na Wasze rady (z opisem) i nie spuścili na drzewo.

  10. To ja proponuje teraz napisac o serwisach http://www.rejestracjadomen.pl oraz http://www.hrd.pl – oczywisce brak szyfrowania hasel. Przypomnienie odsyla stare haslo.

  11. http://www.gry-online.pl cały czas tak robią; kilka dni temu dopiero zakładałem u nich konto i w mailu potwierdzającym przysłali mi login i hasło bez żadnego szyfrowania… zresztą – nie oni jedni :P Podobnie robią (lub robiły) popularne:
    http://www.ps3team.pl/
    http://www.pstro.pl/
    http://blip.pl/ !!!
    http://travian.org/
    i wiele, naprawdę wiele sklepów internetowych, nawet tych dobrze znanych jak EMPiK.
    Ale jak hasło przysłano mi z http://www.omnipass.pl to padłem :)

  12. to ja dodam jeszcze Agnat (domena.pl). Uzytkownik w kontakcie z BOK jest proszony o 3 ostatnie znaki hasła.

  13. Mariusz: Tak, osobiście jestem bardzo zadowolony z “jakości” kontaktu z Gratką. Reakcja prawidłowa :-) Ten cykl ma głównie na celu przypomnieć niektórym firmom, że szyfrowania haseł nie warto ciągle spychać na ostatnią listę TODO…

  14. O serwisach wiele już napisano (a przyczyna pewnie jest prozaicza – twórca systemu CHCIAŁ znać hasła użytkowników z własnej wrodzonej ciekawości), natomiast nigdzie jeszcze nie widziałem, aby ktoś skrytykował za to samo …listy mailowe. Co miesiąc z prawie każdej, na jaką jestem zapisany, dostaję maila z przypomnieniem zawierającego właśnie hasło (XXX mailing list memberships reminder) – tak oto mailman przechowuje hasła plaintextem.

  15. Taki sam mechanizm przypominania hasła jest w serwisie snip.pl
    klikamy przypomnij hasło – przychodzi mail z naszym (starym) hasłem – robimy facepalm..

  16. @maciunio – przegiąłęś z tą autentykacją :p

  17. Nie zapominajmy też o Gadu-Gadu ;)

  18. […] niebezpiecznik.pl Follow us on Twitter 1,521 śledzących RSS Feed 173 czytelników Gratka.pl nie szyfruje haseł użytkowników 1 głosuj! Zaczynamy cykl artykułów upominający serwisy internetowe, które nie […]

  19. No cóż hasło rzeczywiście może posłużyć do identyfikacji, ale takie rzeczy robi się inaczej, nie trzyma się jawnych haseł w bazie z której korzysta skrypt strony, można ładnie przetransportować hasła w ciągu kilku sekund, na inny serwer bazy danych i z niego korzystać podczas identyfikacji użytkownika, i nie ma że boli nie wolno się tłumaczyć tym że za trudne, za długo itp. to jest kwestia bezpieczeństwa, wprowadzenie hashy do bazy zamiast haseł to kwestia 1-2 zapytań, zmiana logowania przy dobrze zaprojektowanej strukturze serwisu to kolejne kilka minut max 1h.

  20. Gadu-Gadu również odsyła hasło na maila – porobiłem screeny u siebie: http://kubofonista.net/jak-gadu-gadu-przechowuje-hasla

  21. @cichy: takie szybkie, tak? No to ciekawe, przerób tabelę z milionem użytkowników, powodzenia, a w między czasie z innych aplikacji obsługuj ich logowanie, rejestracje itp. W gębie każdy jest mocny.

  22. Tłumaczenie się że “10 lat temu wszystko było inne” jest mocno naciągane, wtedy też hashe były w użyciu, tak jak i 20 lat temu. To było raczej “nasi programiści byli młodzi i niedoświadczeni” ;].

  23. @piotr lepsze to niż dostać po reputacji za trzymanie haseł plaintextem, odpalić o drugiej w nocy do rana się zrobi, parę milionów wierszy to wcale nie tak dużo ;]

    Lub druga opcja, dodajemy kolumnę “password-hashed” i za każdym razem jak app się do niego odniesie i zobaczy ze ta kolumna jest pusta to robi hash, wpisuje do niej i usuwa plaintekstową wersję, taki “lazy update”

    Da się trzeba tylko chcieć ;]

  24. @piotr tabeli nie trzeba przerabiać wystarczy, zaktualizować rekordy, wyobraź sobie konstrukcję logowania i rejestracji
    dane są dodawane do bazy, więc wystarczy zmienić zapytanie i dodać hashowanie hasła tylko w 2 miejscach przy dobrych wiatrach, nie przesadzajmy z tym stopniem skomplikowania bo inaczej wymiana layoutu na wp.pl byłaby rekordem webmasterki :)

  25. aha, radze się przyjrzeć również pewnej firmie z literką E na zielonym tle, twórcy np. bluzganego przez Kominka producenta budyniu i telefonii z dużą czerwoną łapą. No, chyba już odpowiedni ludzie wiedzą co trzeba ;)

  26. Proszę o rozwinięcie listy takich serwisów, trzymanie hasła otwartym tekstem powinno być karalne! A przynajmniej napiętnowane. To błąd pierwszoklasisty…

  27. http://img99.imageshack.us/img99/6002/easyjet.gif

    easyJet też nie szyfruje haseł…

  28. gumtree.pl też nie szyfruje ;) Chyba że przypomnienie hasła dekoduje w locie md5 :)

  29. Sama identyfikacja przy kontakcie z biurem BOK na podstawie np: 3 pierwszych liter hasła nie musi wcale oznaczać że nasze hasła w bazie są zapisane plaintextem, wystarczy druga kolumna z odpowiednim hashem wygenerowanym przy rejestracji etc i nic nie tracimy na bezpieczeństwie a weryfikacja zawsze jest, więc też nie można zbyt szybko osądzać serwisu – chociaż samo pytanie o hasła, a nawet jego kawałek źle mi się kojarzy :)

Odpowiadasz na komentarz piotr

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: