elcats.ru хранит пароли в открытом виде

[awn]

elcats.ru хранит пароли в открытом виде.

Настоятельная рекомендация всем, кто использовал для них тот же пароль, что и для каких-нибудь других сайтов, или отличающиеся только включением чего-то похожего на имя сайта -- поменять пароли на этих других сайтах.

[Ice_BEAR_Bo]

как узнал?

[awn]

Нажал восстановить пароль -- они мне его в чистом исходном виде в sms и прислали.

[swatik]

Прикольно нынчче без инкрипшена работать. Хотя это ж Раша, ожидаемо.

[Ice_BEAR_Bo]

не думаю, скорее всего они хранят у себя в базе его заэнкрипченым, но по запросу на восстановление - декриптят и отправляют на телефон, так как есть привязка. насколько это не секъюрно - можно спорить

[awn]

Это всё равно, что хранить в открытую.
Но моё обоснованное предположение -- в открытую совсем.
Причина: заморачиваться с шифрованием стоит только, если идиот или хочешь иметь к паролям доступ. Но в первом случае шифрование не по силам, а во втором -- лишняя трата ресурсов. Что так, что эдак -- получается plain text в открытую.

[Barakuda_tm]

просто входите через гугл, например. апи гугла ваш пароль туда не отправит, авторизация в один клик.

[Ice_BEAR_Bo]

обычный алгоритм:
- хранение в базе в зашифрованом виде (на случай взлома)
- отправка (по требованию восстановления) на телефон пароля перед отправкой расшифрованного

вопрос: что не так с этим алгоритмом? о каких ресурсах речь?

[awn]

просто входите через гугл, например. апи гугла ваш пароль туда не отправит, авторизация в один клик.

А зачем им знать мой Google account?

[awn]

обычный алгоритм:
- хранение в базе в зашифрованом виде (на случай взлома)
- отправка (по требованию восстановления) на телефон пароля перед отправкой расшифрованного

вопрос: что не так с этим алгоритмом?

То, что он не защищает пароли в случае взлома.

Нормальный алгоритм -- это вычислительно тяжёлый хэш + соль.

Всё, что позволяет восстановить исходный текст пароля при условии
полного контроля взломщиками сервера или серверов -- не подходит по
определению.

Всё, что позволяет найти коллизию за приемлимое время -- не подходит по
задаче (какое время считать приемлимым и при какой затрате выч. ресурсов
-- определяется задачей).

о каких ресурсах речь?

В данном случае речь шла в трудозатратах. Ну не волнует их вопрос безопасности. Так почему ожидать, что они будут тратить время/силы на реализацию бутафории?

[Ice_BEAR_Bo]

Всё, что позволяет восстановить исходный текст пароля при условии
полного контроля взломщиками сервера или серверов

если взломщики контролят сервер - там уже похуй и на хэш и на соль, так как они автоматически становятся инструментами для дешифровки

ладно, пох в принципе

[awn]

Хэширование -- это не шифрование. Хэш по определению необратим. Его можно только пробрутфорсить. Поэтому и важно, чтобы хэш-функция была вычислительно сложной -- сильно замедляет перебор. Соль же нужна, чтобы нельзя было обойти этап расчёта с помощью радужных таблиц.

[Ice_BEAR_Bo]

хоть и криптография не мой конёк, но как человек, который с этим довольно часто сталкивается, говорю: сие выражение не верно

Хэш по определению необратим

[awn]

хоть и криптография не мой конёк, но как человек, который с этим довольно часто сталкивается, говорю: сие выражение не верно

Хэш по определению необратим

Согласен. В запале упростил => сглупил.

[b1gg1e]

Я что-то не понял проблемы.
Как топистартер определил, что пароль в открытом виде хранится? Хранится или передается при авторизации? - это большая разница

P.S. На exist разве не также?

[awn]

Я что-то не понял проблемы.

Безопасность.

Как топистартер определил, что пароль в открытом виде хранится?

viewtopic.php?p=345573#p345573

Хранится или передается при авторизации? - это большая разница

Именно хранится.

И на всякий случай, чтобы дважды не вставать: предположение Мишы, что он хранится симметрично зашифрованным имеет право на жизнь и может соответствовать действительности, но с точки зрения безопасности это практически приравнивается к хранению в открытом виде и, с моей точки зрения, тоже недопустимо.

P.S. На exist разве не также?

Не проверял.