Olvass tovább

">Olvass tovább

">BKK Online Shop nem biztonságos - @Yzahkin

BKK Online Shop nem biztonságos

Megindult a BKK online shop. Sajnos szánalom az egész. Jelszót semmiképpen ne bízzunk rá.

A legfontosabb: senki se adjon meg olyan jelszót ott, amit máshol is használ (ez amúgy se jó ötlet de mind tudjuk, hogy erről nem szokunk le), ugyan is legjobb esetben is maximum rejtjelezve (tehát törhető formában) tárolják azt. Rosszabb esetben nyers szövegként. Ez azt jelenti, hogy bárki aki rálát adatbázisra email címünk mellett a jelszavunkat is láthatja. Ami egyrészt veszélyes, ha egy kirúgott alkalmazott bosszút akar állni, vagy valaki jó ötletnek tartja belépkedni mások profiljába, ha már úgyis rálát.

Honnan tudom ezt? Onnan, hogy az elfelejtett jelszó funkció, ahelyett hogy egy token segítségével új jelszót adatna meg vagy generálna egy újat VISSZAKÜLDI A JELSZAVUNKAT. Ez már akkor se volt elfogadható gyakorlat, amikor a szakma még nem tapasztalta ki a rejtjelezést sem, nem hogy hash-t és sót használtak volna. A jelszó lényege az lenne, hogy csak annak kitalálója ismerje. Senki semmilyen más módon ne férhessen hozzá, ne következtethesse ki.

az email

 

Ráadásul ez a rendszert célponttá teszi. Minden kis hacker palánta könnyű célpontnak fogja tekinteni. Szép adag email:jelszó párost lehet majd kiszedni ebből. Meglepne, ha már most ne próbálkoznának vele. Mert, ha ilyen alapvető dolog lyukas benne, akkor sok más is.

Mi lenne a megoldás? Hash + só használta. Miért? Mert jelenleg ez a legjobb mód jelszavak tárolására. Amit ezek szerint BKK-s “szakemberek” nem tudnak. Le vannak maradva 10 évvel. Gratulálok.