Пользователь рассказал о хранении паролей клиентов Ru-Center в открытом виде Статьи редакции
Компания объяснила проблему устаревшими технологиями.
Крупнейший российский регистратор доменов Ru-Center хранит пароли своих клиентов в незашифрованном виде. Об этом рассказал один из пользователей TJ. По его словам, в ответ на запрос восстановления доступа компания прислала старый пароль от аккаунта.
Пользователь отметил, что обычно сайты и сервисы не хранят копии паролей, а шифруют их с помощью хеширования. Если база паролей попадёт в руки злоумышленников, последствия могут быть плачевными, рассуждает он.
В технической поддержке Ru-Center в разговоре с пользователем признали, что сейчас система восстановления доступа работает только так, но назвать сроки внедрения новой системы авторизации затруднились.
Ru-Center уже не впервые сталкивается с жалобами на хранение паролей в незащищённом виде. Пользователи возмущались подобным подходом к безопасности данных ещё в 2010 году.
По собственным данным, Ru-Center обслуживает свыше трёх миллионов доменных имён, у компании более 750 тысяч клиентов.
Представитель Ru-Center в разговоре с vc.ru признал факт хранения паролей клиентов в незашифрованном виде, он объяснил это тем, что часть технологических возможностей регистратора устарела. По его словам, сейчас компания тестирует новую систему авторизации и восстановления доступа, которая начнёт работать в ближайшее время.
У рег ру насколько знаю тоже в открытом ;)
Комментарий удален модератором
Приветствуем! Важное уточнение: при восстановлении доступа мы не отправляем старые пароли. А при регистрации нового аккаунта на почту отправляется автоматически сгенерированный пароль, который при входе нужно изменить.
Комментарий удален модератором
В сообщении выше мы говорили о регистрации аккаунта. Вот скрин о том, что сменить пароль мы рекомендуем сразу после регистрации. Что касается услуги хостинга, то здесь подразумевается, что пользователь сменил пароль для входа в ЛК. А далее, базовая информационная безопасность: пользователю выдаются пароли для входа. То есть он сам решает, использовать их или изменить. При восстановлении доступа, эти данные не предоставляются в открытом виде. Но согласны с вами в том, что даже при заказе хостинга можно и нужно продублировать информацию о безопасности и смене пароля.
Комментарий удален модератором
Есть логика в том, чтобы продублировать эту информацию в письмах при заказе хостинга, определённо. Обсудим этот момент, спасибо!
Зачем вы тролите ? Они сгенерировали пароль, в базу положили хэш от него же, все нормально. Ужасно когда компания проявляет клиент ориентированный подход а её тролят за цвет.
Комментарий удален модератором