Hlavní navigace

Reset a poslání hesla v čitelné podobě e-mailem? Nebezpečná praktika

Daniel Dočekal 24. 3. 2016

Používáte-li nějaký placený servis, kde osoba s přístupem ke službě může ovlivnit kolik platíte, chcete, aby služba byla bezpečná. To je jasné.

Pokud používáte služby mediálního monitoringu od Newton Media, tak jste se asi setkali s podivným zvykem. Zhruba tak jednou za měsíc vám přijde e-mailem nové heslo. Se zdůvodněním, že jde o bezpečnostní opatření, aby někdo nemohl heslo zneužít. Proto je heslo automaticky změněno a posláno zákazníkovi.

Je to velmi zvláštní a nebezpečná praktika, která má dva zásadní problémy. Jeden menší: zbytečné měnění hesla a tím neustálá nutnost někde nové heslo evidovat, aniž by bylo umožněno používat vlastní bezpečné heslo dle vlastního uvážení. Vynucované změny hesla obvykle vedou k tomu, že lidé používají hesla nebezpečná (protože si nové a nové složité heslo nedokážou zapamatovat) nebo si hesla samotná prostě věší na lístečky na monitor.

Ten větší a zásadnější problém je ale v posílání nového hesla v čitelné podobě e-mailem. E-mail není bezpečná forma komunikace a někdo ho může přečíst nejenom cestou, ale také se může dostat do cizí poštovní schránky, k cizímu mobilu, počítači či tabletu.

Velmi zvláštní přístup Newton Media jsme chtěli vysvětlit, včetně dotazu na to, jakým způsobem ukládají hesla zákazníků. Dotaz poslaný 7. března se dočkal odpovědi až 21. března po několika upomínkách. Kompletní odpověď: 

ad 1) V nových aplikacích  již není heslo ukládáno v systémech NEWTON Media vůbec. Úvodní náhodně generované heslo je zasláno klientovi, který si jej musí při prvním přihlášení změnit a v NEWTON Media je uložen pouze hash (otisk) tohoto hesla sloužící k ověření hesla zadaného uživatelem při následujících přihlášeních. Nové aplikace samozřejmě již komunikují pouze přes šifrovaný protokol HTTPS.

ad 2) Ve starších aplikacích NEWTON Media (např. MediaSearch) je volitelně ukládán buď kompletní text hesla, nebo také pouze hash. Volba závisí na přání klienta. V nejstarší aplikaci IMM je ukládán kompletní text hesla. V případě ukládání kompletního textu hesla je heslo šifrováno/dešifrováno aplikací, takže je uloženo v databázi v nečitelné podobě a tudíž ani administrátor databáze nemá možnost heslo číst.

Plyne z ní to, že pokud některý z produktů (aplikací) od Newton Media používáte, je možné, že vaše heslo je uloženo v plně čitelné podobě a má ho k dispozici kdokoliv, včetně případného útočníka, který získá přístup k databázím. 

Po doplňujících otázkách také víme, že použitý hash je SHA algoritmus v .NET frameworku, doplněný o salt, také pomocí náhodného generátoru z .NET. Výše zmíněné resetování hesla se týká pouze starých aplikací a prý tato funkčnost byla „zavedena na četné žádosti zákazníků“. 

Což přináší zásadní otázku: je skutečně dobré řídit se nebezpečnými nápady zákazníků? V nových aplikacích ale tato potenciálně nebezpečná funkčnost již není.

Našli jste v článku chybu?

24. 3. 2016 10:17

S podobnym prekvapenim jsem se vcera setkal na strankach Ministerstva vnitra. Do aplikace DROZD clovek poctive nadatluje vsechny sve citlive udaje pred zahranicni cestou, aby on nem v pripade maleru vedeli, a vedeli, koho kontaktovat. Takze tam zadate datum narozeni, cislo obcanky, kontakty na sebe a na blizke. No, a oni vam pak hezky cely tenhle formular poslou (asi pro kontrolu???) emailem. V cleartextu. Uz jsem je pozadal, at to nedelaji. Dokonce mi prijde, ze tim porusuji prohlaseni o ochran…

25. 3. 2016 19:38

Míra (neregistrovaný)

Zdravím,
nevím zda je předchozí příspěvek myšlený ironicky nebo vážně.
Pokud by byl myšlený vážně tak je to důkaz, že blbé nápady jsou realitou.

Pokud by např. banka posílala v otevřeném emailu přihlašovací údaje do internetového bankovnictví, PIN platební karty nebo podobné citlivé údaje, tak by to byl opravdu veliký bezpečnostní průser.

Jenom o málo menší průser by to byl u posílání přihlašovacích údajů pro přihlášení do účtu u mobilního operátora. Pak by se mohl kdokoliv kdo se k tomuto ema…



Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Lupa.cz: EET v e-shopech? Zdražení a horší komfort

EET v e-shopech? Zdražení a horší komfort

Podnikatel.cz: Na poslední chvíli šokuje výjimkami v EET

Na poslední chvíli šokuje výjimkami v EET

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Podnikatel.cz: Na 3. prosince se chystá protest proti EET

Na 3. prosince se chystá protest proti EET

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

DigiZone.cz: HD programy ČT i v UPC Horizon

HD programy ČT i v UPC Horizon

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

DigiZone.cz: Další dva kanály nabídnou HbbTV

Další dva kanály nabídnou HbbTV

Vitalia.cz: Dáte si jahody s plísní?

Dáte si jahody s plísní?

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

DigiZone.cz: Flix TV má set-top box s HEVC

Flix TV má set-top box s HEVC