{"id":14279,"url":"\/distributions\/14279\/click?bit=1&hash=4408d97a995353c62a7353088166cda4ded361bf29df096e086ea0bbb9c1b2fc","title":"\u0427\u0442\u043e \u0432\u044b\u0431\u0435\u0440\u0435\u0442\u0435: \u0432\u044b\u0435\u0445\u0430\u0442\u044c \u043f\u043e\u0437\u0436\u0435 \u0438\u043b\u0438 \u0437\u0430\u0435\u0445\u0430\u0442\u044c \u0440\u0430\u043d\u044c\u0448\u0435?","buttonText":"","imageUuid":""}
Сервисы
Лера Михайлова

Ozon.ru перестал присылать старые пароли пользователям в открытом виде Статьи редакции

Пользователи впервые заметили эту проблему в 2012 году.

Онлайн-ритейлер Ozon.ru прекратил присылать старые пароли пользователям в открытом виде. Об этом со ссылкой на слова техдиректора компании Анатолия Орлова пишет TJ.

Орлов рассказал о новой системе хранения паролей в ответ на комментарий одного из пользователей «Хабра». По словам Орлова, он попросил исправить проблему с паролями в апреле 2018 года, когда приступил к работе в Ozon.ru.

Ветка находилась в комментариях под материалом об Ozon.ru Скриншот Telegram-канала G33ks

Сейчас ветка с этими комментариями удалена: возможно, из-за мата, который нарушает правила «Хабра». Представитель компании сообщила, что слова Орлова на скриншоте вырваны из контекста.

Редактор TJ попробовал восстановить пароль от Ozon.ru и получил ссылку на сброс пароля. С 2012 года пользователи «Хабра» и «Пикабу» жаловались, что ответ на попытку восстановить пароль Ozon.ru присылал старый пароль в незашифрованном виде.

Обновлено: Анатолий Орлов уточнил, что речь в комментариях шла только о передаче, а не о хранении паролей.

На «Хабре» обсуждалось следующее: как Ozon раньше отправлял (а не хранил) пользователям пароли при их сбросе. Так вот раньше, если пользователь восстанавливал пароль с привязанной к аккаунту почты, Ozon ему этот пароль присылал ответным письмом. При этом если пароль не восстанавливали, а пользователь регистрировался или менял пароль сам, то Ozon ему ничего не высылал, естественно.

При этом в базе пароли хранились в кодированном виде. Не в открытом доступе Excel-табличке, а в виде кода. Это означает, что получить эти пароли мог — да и то теоретически — сотрудник компании, у которого был доступ в базу и ключ кодирования. Отслеживание поведения таких сотрудников с доступами — это отдельная история, не будем вдаваться в подробности, чтобы никого не провоцировать.

В 2018 году пришла новая команда, которая сделала серьезную работу для усиления безопасности. Сами понимаете, интернет-мошенники все изобретательнее, а пользователей у компании все больше. Сейчас все пароли пользователей хранятся в хэшированном виде (aka «закодированные необратимым образом») — от пароля вычисляется необратимая функция, в результате проверить его можно, вычислив от него такую же функцию, но восстановить его невозможно. Лучше всего оберегаются те секреты, которые ты сам не знаешь.

Анатолий Орлов, техдиреткор Ozon.ru

#новость #ozon

0 показов
3.7K открытий
0
58 комментариев
Написать комментарий...
Показать всё . Вы видите только часть дискуссии
 Denis Kiselev

Да, лучше поздно, чем никогда!

А 2fa планируют?

Ответить
Развернуть ветку
Alexey Lutokhin

уже работает аутентификация по номеру телефона

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Alexey Lutokhin

планируем скоро добавить многое)

Ответить
Развернуть ветку
Показать 58 комментариев . Вы видите только часть дискуссии
Написать комментарий...
55 комментариев
Раскрывать всегда