Πολλές εταιρείες παραδέχθηκαν πρόσφατα ότι αποθηκεύουν κωδικούς πρόσβασης σε μορφή απλού κειμένου. Αυτό είναι σαν να αποθηκεύετε έναν κωδικό πρόσβασης στο Σημειωματάριο και να τον αποθηκεύετε ως αρχείο .txt. Οι κωδικοί πρόσβασης θα πρέπει να είναι αλατισμένοι και κατακερματισμένοι για ασφάλεια, οπότε γιατί δεν συμβαίνει αυτό το 2019;
Γιατί οι κωδικοί πρόσβασης δεν πρέπει να αποθηκεύονται σε απλό κείμενο
Όταν μια εταιρεία αποθηκεύει κωδικούς πρόσβασης σε απλό κείμενο, οποιοσδήποτε διαθέτει τη βάση δεδομένων κωδικών πρόσβασης —ή οποιοδήποτε άλλο αρχείο στο οποίο είναι αποθηκευμένοι οι κωδικοί πρόσβασης— μπορεί να τους διαβάσει. Εάν ένας χάκερ αποκτήσει πρόσβαση στο αρχείο, μπορεί να δει όλους τους κωδικούς πρόσβασης.
Η αποθήκευση κωδικών πρόσβασης σε απλό κείμενο είναι μια τρομερή πρακτική. Οι εταιρείες θα πρέπει να αλατίζουν και να κατακερματίζουν τους κωδικούς πρόσβασης, κάτι που είναι ένας άλλος τρόπος για να πούμε “προσθέτοντας επιπλέον δεδομένα στον κωδικό πρόσβασης και στη συνέχεια κρυπτογραφώντας με τρόπο που δεν μπορεί να αντιστραφεί”. Συνήθως αυτό σημαίνει ότι ακόμα κι αν κάποιος κλέψει τους κωδικούς πρόσβασης από μια βάση δεδομένων, δεν μπορούν να χρησιμοποιηθούν. Όταν συνδέεστε, η εταιρεία μπορεί να ελέγξει ότι ο κωδικός πρόσβασής σας ταιριάζει με την αποθηκευμένη κωδικοποιημένη έκδοση—αλλά δεν μπορεί να “λειτουργήσει προς τα πίσω” από τη βάση δεδομένων και να καθορίσει τον κωδικό πρόσβασής σας.
Γιατί λοιπόν οι εταιρείες αποθηκεύουν τους κωδικούς πρόσβασης σε απλό κείμενο; Δυστυχώς, μερικές φορές οι εταιρείες δεν λαμβάνουν σοβαρά υπόψη την ασφάλεια. Ή επιλέγουν να συμβιβάσουν την ασφάλεια στο όνομα της ευκολίας. Σε άλλες περιπτώσεις, η εταιρεία κάνει τα πάντα σωστά κατά την αποθήκευση του κωδικού πρόσβασής σας. Αλλά μπορεί να προσθέσουν υπερβολικές δυνατότητες καταγραφής, οι οποίες καταγράφουν τους κωδικούς πρόσβασης σε απλό κείμενο.
Πολλές εταιρείες έχουν ακατάλληλα αποθηκευμένους κωδικούς πρόσβασης
Μπορεί ήδη να επηρεάζεστε από κακές πρακτικές γιατί Ρομπέν των Δασών, Google, Facebook, GitHub, Twitter και άλλοι αποθηκευμένοι κωδικοί πρόσβασης σε απλό κείμενο.
Στην περίπτωση της Google, η εταιρεία κατακερματιζόταν επαρκώς και αλάτιζε τους κωδικούς πρόσβασης για τους περισσότερους χρήστες. Αλλά Κωδικοί πρόσβασης λογαριασμού G Suite Enterprise αποθηκεύτηκαν σε απλό κείμενο. Η εταιρεία είπε ότι αυτή ήταν πρακτική που είχε απομείνει από τότε που έδωσε στους διαχειριστές τομέα εργαλεία για την ανάκτηση κωδικών πρόσβασης. Αν η Google είχε αποθηκεύσει σωστά τους κωδικούς πρόσβασης, αυτό δεν θα ήταν δυνατό. Μόνο μια διαδικασία επαναφοράς κωδικού πρόσβασης λειτουργεί για ανάκτηση όταν οι κωδικοί πρόσβασης αποθηκεύονται σωστά.
Όταν το Facebook επίσης έχει αποδεχθεί την αποθήκευση κωδικών πρόσβασης σε απλό κείμενο, δεν έδωσε την ακριβή αιτία του προβλήματος. Ωστόσο, μπορείτε να συμπεράνετε το ζήτημα από μια μεταγενέστερη ενημέρωση:
…ανακαλύψαμε επιπλέον αρχεία καταγραφής κωδικών πρόσβασης Instagram που αποθηκεύονται σε αναγνώσιμη μορφή.
Μερικές φορές μια εταιρεία θα κάνει τα πάντα σωστά κατά την αρχική αποθήκευση του κωδικού πρόσβασής σας. Και στη συνέχεια προσθέστε νέες δυνατότητες που προκαλούν προβλήματα. Εκτός από το Facebook, Ρομπέν των Δασών, Github, και Κελάδημα καταχωρημένοι κατά λάθος κωδικοί πρόσβασης απλού κειμένου.
Η καταγραφή είναι χρήσιμη για την εύρεση προβλημάτων σε εφαρμογές, υλικό, ακόμη και κώδικα συστήματος. Αλλά εάν μια εταιρεία δεν δοκιμάσει διεξοδικά αυτή την ικανότητα καταγραφής, μπορεί να προκαλέσει περισσότερα προβλήματα από όσα λύνει.
Στην περίπτωση του Facebook και του Robinhood, όταν οι χρήστες έδιναν το όνομα χρήστη και τον κωδικό πρόσβασής τους για να συνδεθούν, η λειτουργία καταγραφής μπορούσε να δει και να καταγράψει τα ονόματα χρήστη και τους κωδικούς πρόσβασης καθώς πληκτρολογήθηκαν. Στη συνέχεια αποθήκευσε αυτά τα αρχεία καταγραφής αλλού. Όποιος είχε πρόσβαση σε αυτά τα αρχεία καταγραφής είχε όλα όσα χρειάζεται για να αναλάβει έναν λογαριασμό.
Σε σπάνιες περιπτώσεις, μια εταιρεία όπως η T-Mobile Australia μπορεί να αγνοήσει τη σημασία της ασφάλειας, μερικές φορές στο όνομα της ευκολίας. Σε ένα από τότε που διαγράφηκε η ανταλλαγή Twitter, ένας εκπρόσωπος της T-Mobile εξήγησε σε έναν χρήστη ότι η εταιρεία αποθηκεύει τους κωδικούς πρόσβασης σε απλό κείμενο. Η αποθήκευση κωδικών πρόσβασης με αυτόν τον τρόπο επέτρεψε στους αντιπροσώπους εξυπηρέτησης πελατών να δουν τα πρώτα τέσσερα γράμματα ενός κωδικού πρόσβασης για λόγους επιβεβαίωσης. Όταν άλλοι χρήστες του Twitter επεσήμαναν κατάλληλα πόσο κακό θα ήταν αν κάποιοι