Пользователь рассказал о хранении паролей клиентов Ru-Center в открытом виде Статьи редакции
Компания объяснила проблему устаревшими технологиями.
Крупнейший российский регистратор доменов Ru-Center хранит пароли своих клиентов в незашифрованном виде. Об этом рассказал один из пользователей TJ. По его словам, в ответ на запрос восстановления доступа компания прислала старый пароль от аккаунта.
Пользователь отметил, что обычно сайты и сервисы не хранят копии паролей, а шифруют их с помощью хеширования. Если база паролей попадёт в руки злоумышленников, последствия могут быть плачевными, рассуждает он.
Часто пользователи используют один и тот же пароль для разных сервисов, что позволяет получить доступ к почте, социальным сетям и другим ресурсам.
В технической поддержке Ru-Center в разговоре с пользователем признали, что сейчас система восстановления доступа работает только так, но назвать сроки внедрения новой системы авторизации затруднились.
Разработчики работают над внедрением новой системы по восстановлению пароля в «закрытом» виде. На данный момент, мы можем порекомендовать вам установить запрет на отправку пароля по электронной почте в личном кабинете. Точных сроков её реализации мы пока не можем вам сообщить.
Ru-Center уже не впервые сталкивается с жалобами на хранение паролей в незащищённом виде. Пользователи возмущались подобным подходом к безопасности данных ещё в 2010 году.
По собственным данным, Ru-Center обслуживает свыше трёх миллионов доменных имён, у компании более 750 тысяч клиентов.
Представитель Ru-Center в разговоре с vc.ru признал факт хранения паролей клиентов в незашифрованном виде, он объяснил это тем, что часть технологических возможностей регистратора устарела. По его словам, сейчас компания тестирует новую систему авторизации и восстановления доступа, которая начнёт работать в ближайшее время.
Ru-Center как старейший регистратор доменов в России, к сожалению, до настоящего момента в самых глубоких местах архитектуры имеет технологические решения, которым по 10-15 лет. Сейчас доступ к внутренним информационным системам имеет ограниченный набор сотрудников, он контролируется службой безопасности.
В ближайшее время мы полностью обновим логику авторизации и восстановления доступа — новая система сейчас тестируется. Также наши клиенты в любой момент могут настроить уведомления по SMS о любых операциях с услугами и аккаунтом, ограничить доступ к операциям с аккаунтом по IP-адресу, установить запрет на получение пароля по email и запретить любые операции с доменом без личного присутствия в офисе регистратора.
У рег ру насколько знаю тоже в открытом ;)
Комментарий удален модератором
Приветствуем! Важное уточнение: при восстановлении доступа мы не отправляем старые пароли. А при регистрации нового аккаунта на почту отправляется автоматически сгенерированный пароль, который при входе нужно изменить.
Комментарий удален модератором
В сообщении выше мы говорили о регистрации аккаунта. Вот скрин о том, что сменить пароль мы рекомендуем сразу после регистрации. Что касается услуги хостинга, то здесь подразумевается, что пользователь сменил пароль для входа в ЛК. А далее, базовая информационная безопасность: пользователю выдаются пароли для входа. То есть он сам решает, использовать их или изменить. При восстановлении доступа, эти данные не предоставляются в открытом виде. Но согласны с вами в том, что даже при заказе хостинга можно и нужно продублировать информацию о безопасности и смене пароля.
Комментарий удален модератором
Есть логика в том, чтобы продублировать эту информацию в письмах при заказе хостинга, определённо. Обсудим этот момент, спасибо!
Зачем вы тролите ? Они сгенерировали пароль, в базу положили хэш от него же, все нормально. Ужасно когда компания проявляет клиент ориентированный подход а её тролят за цвет.
Комментарий удален модератором
Значит вы их только храните в открытом виде, да?
Нет, пароли в открытом виде мы их не храним.
Интересно пишете: "пароли в открытом виде" + "мы их не храним" :)
Может быть, но уже не отмажетесь.
Сразу надо формулировать точно.
Пардон, торопились. Мы не храним пароли в открытом виде.
но хранили же? До какого момента?
Ау рег ру
Виктор, уточнили. Пароли в открытом виде не хранились и ранее.
Скриншот говорит об обратном. Комментарии будут или надо посоветоваться с тех директором?
Виктор, уточните пожалуйста, откуда этот скриншот? Можно ссылку?
Это мануал по работе с manager.reg.ru
Уточнили у коллег. Это скрин от старого мануала. Действительно, когда-то очень-очень давно (не можем сориентировать точнее) такое действительно могло происходить.
А вот скриншот из вашей панели управления говорит об обратном
выглядит так, будто это кусок документации какого-то api, а в этом случае передача в открытом виде не подразумевает хранение в открытом виде ни разу
ps: дайте ссылку, пжлста
Вы бы для начала разобрались о чем я пишу, а потом минус бы ставили. Это инструкция по работе с клиентской базой
Виктор, "нет времени" читать/объяснять/делать - это постоянный тренд сегодняшнего дня. Если Вас можно понять неправильно - это будет сделано. Если Вас нельзя понять неправильно - все равно найдут способ это сделать, или напишут что зануда :)
Ну так приложите пруф )
А минус - это всего лишь показатель неодобрения, по карману не бьет, так что не все ли равно?
А скриншот вам уже не пруф что ли? Или вам письмо от Королюка только пруфом будет?
Нет, конечно. Ссылка на файл или страницу с этим, размещенную на reg.ru или дочерних ресурсах - пруф
А вы наивно думаете что этот мануал есть в открытом доступе?
Блэд, к чему столько разговоров? Он у вас один такой персонально что ли? У меня тоже есть акк на рег.ру с пачкой серверов, так что если для доступа нужна авторизация, то совладаю как-нибудь.
Такое ощущение, что вы дернули откровенную херню увидев знакомое слово, а теперь морозитесь
Владейте чем угодно, вопрос вообще не к вам был, др свидания