[security]nic.ru

пруф?

linux.org.ru тоже хранит пароли так. Но я не боюсь за свою приватную информацию, хранящуюся тут.

На мыло приходит твой пароль. Вот и весь пруф.

А может у них там кластер, который ломает твой хеш, если ты забудешь пароль? %)

Куча говноресурсов так делает и что?

> На мыло приходит твой пароль. Вот и весь пруф.

это не пруф. пароли вполне могут храниться и в зашифрованном виде с хитрой системой авторизации и предоставления ключей для расшифровки. а логиниться можно и по незащищенному хэшу из таблички.

> На мыло приходит твой пароль. Вот и весь пруф.

выложи текст мыла, мы авторитетно заценим :)

> Куча говноресурсов так делает и что?

Включая ЛОР. :)

Ты уверен, что они не создаются заново каждый раз, когда ты их запрашиваешь?

> это не пруф. пароли вполне могут храниться и в зашифрованном виде с хитрой системой авторизации и предоставления ключей для расшифровки. а логиниться можно и по незащищенному хэшу из таблички.

Пример в студию, где такое есть и в чем смысл таких телодвижений? Да и при таком раскладе, всегда можно получить пароль изначальный. Не спорю, что в базе может и закодировано все по какому-то ключу, дабы избежать взлома базы и увода паролей. Но это ИМХО снова бред.

Ты уверен, что они не создаются заново каждый раз, когда ты их запрашиваешь?

В этом смысл и есть, что поэтому они не зашифрованы.

Контакт тоже не шифрует.

============================================================== СООБЩЕНИЕ ОТОСЛАНО НА АДРЕС, УКАЗАННЫЙ В ПОЛЕ E-MAIL ДОГОВОРА ХХХХХХ/NIC-D ============================================================== Здравствуйте,

ХХХ ХХХ ХХ ХХ:ХХ:ХХ ХХХХ в RU-CENTER поступил запрос с IP-адреса ХХХ.ХХХ.ХХХ.ХХХ на предоставление административного пароля по договору/анкете ХХХХХХ/NIC-D.

Пароль: калябаляукралконя

--- Административно-техническая группа RU-CENTER e-mail: ru-ncc@nic.ru phones: +7 495 737-0601 fax: +7 495 737-0602

Я уверен, сегодня запрашивал.

На указанный айдишник пароль «калябаляукралконя» не подходит. Так что они рассылают не настоящие пароли, всё в порядке.

Стив такой Стив.

> Пример в студию, где такое есть и в чем смысл таких телодвижений? Да и при таком раскладе, всегда можно получить пароль изначальный. Не спорю, что в базе может и закодировано все по какому-то ключу, дабы избежать взлома базы и увода паролей. Но это ИМХО снова бред.

пример не могу, ибо NDA. смысл же - как раз таки в безопасности.
хэши лежат в обычной табличке и позволяют авторизоваться. если их оттуда вытащат - не велика беда. закриптованные же пароли хранятся в защищенном хранилище, лучше если на другом сервере, и для доступа к ним/инициации высылки пароля пользователю (лучше даже так, и запретить выдачу пароля из базы даже по запросу приложения) нужен спец. ключ/сертификат.

А в процессе восстановления, пароль, полученный из защищенного хренилища с другого сервера с помощью спец. ключа/сертификата, высылается пользователю по открытому каналу (сиречь почте).

Магнифишент!

а нафига вообще хранить пароль? Чем плохо просто его перегенерить?

pgp никто не отменял.

> а нафига вообще хранить пароль? Чем плохо просто его перегенерить?

да ничем не плохо, так даже правильнее. но ТЗ есть ТЗ.

ненавижу такие ТЗ :(

в банке твои деньги тоже хранят не в преобразованном виде.

Тут весь вопрос в том, насколько надежно они их хранят.

Если сервер, на котором лежат эти данные умеет делать только две операции: проверить правильность переданного ему пароля, и выслать его на майл, указанный при регистрации, то добраться до этих данных будет достаточно сложно (например, найти и получить доступ к бакапу или сломать кеширующий DNS и выдавать этому серверу неверный MX).

хм, уязвимый канал будет присутствовать в алгоритме восстановления пароля и при ситуации, в которой пароли nic-овцами не хранятся.

> уязвимый канал будет присутствовать в алгоритме восстановления пароля и при ситуации, в которой пароли nic-овцами не хранятся.

А зря что ли во всех подобных письмах рядом со сгенеренным паролем пишется, что он временный и его надо сразу сменить?

Получал когда-нибудь пластиковую карту? Мне не нравится, что работники банка имеют полный доступ к набору данных: номер карты + дата действия карты + секретный код. Тупо приходится надеяться на их порядочность. Закрывали бы секретный код фольгой, как в мгновенных лотереях. Нужен он хозяину карты, пусть открывает, нет - пусть будет скрыт.
С хранением пароля в открытом виде такая же история, в случае проблем тебе скажут, что сам пролюбил пароль, а на самом деле не факт. Не так ли?