Ozon.ru перестал присылать старые пароли пользователям в открытом виде Статьи редакции
Пользователи впервые заметили эту проблему в 2012 году.
Онлайн-ритейлер Ozon.ru прекратил присылать старые пароли пользователям в открытом виде. Об этом со ссылкой на слова техдиректора компании Анатолия Орлова пишет TJ.
Орлов рассказал о новой системе хранения паролей в ответ на комментарий одного из пользователей «Хабра». По словам Орлова, он попросил исправить проблему с паролями в апреле 2018 года, когда приступил к работе в Ozon.ru.
Сейчас ветка с этими комментариями удалена: возможно, из-за мата, который нарушает правила «Хабра». Представитель компании сообщила, что слова Орлова на скриншоте вырваны из контекста.
Редактор TJ попробовал восстановить пароль от Ozon.ru и получил ссылку на сброс пароля. С 2012 года пользователи «Хабра» и «Пикабу» жаловались, что ответ на попытку восстановить пароль Ozon.ru присылал старый пароль в незашифрованном виде.
Обновлено: Анатолий Орлов уточнил, что речь в комментариях шла только о передаче, а не о хранении паролей.
На «Хабре» обсуждалось следующее: как Ozon раньше отправлял (а не хранил) пользователям пароли при их сбросе. Так вот раньше, если пользователь восстанавливал пароль с привязанной к аккаунту почты, Ozon ему этот пароль присылал ответным письмом. При этом если пароль не восстанавливали, а пользователь регистрировался или менял пароль сам, то Ozon ему ничего не высылал, естественно.
При этом в базе пароли хранились в кодированном виде. Не в открытом доступе Excel-табличке, а в виде кода. Это означает, что получить эти пароли мог — да и то теоретически — сотрудник компании, у которого был доступ в базу и ключ кодирования. Отслеживание поведения таких сотрудников с доступами — это отдельная история, не будем вдаваться в подробности, чтобы никого не провоцировать.
В 2018 году пришла новая команда, которая сделала серьезную работу для усиления безопасности. Сами понимаете, интернет-мошенники все изобретательнее, а пользователей у компании все больше. Сейчас все пароли пользователей хранятся в хэшированном виде (aka «закодированные необратимым образом») — от пароля вычисляется необратимая функция, в результате проверить его можно, вычислив от него такую же функцию, но восстановить его невозможно. Лучше всего оберегаются те секреты, которые ты сам не знаешь.
Domru (Интернет провайдер), до сих пор присылает пароли в открытом виде на почту и телефон. Хотя бы новый бы генерировали и в открытом присылали, хоть немного лучше было бы
я знаю провайдеров, чьи тётеньки в окошке узнают пароли по телефону, а тебе отдают записанными от руки на бумажке.
Это трэш, конечно. Я бы этой тётеньке продиктовал такой пароль: 1|llIl||ii!!i!驗//\碼\o0OоООо證аАеaEA - сочетание русских, английских букв и символов L-маленькая, i-большая, | и пр. и ещё добавил бы иероглифов)
Пусть напишет такой пароль от руки, а пользователь пусть вобъёт его