Ozon.ru перестал присылать старые пароли пользователям в открытом виде Статьи редакции
Пользователи впервые заметили эту проблему в 2012 году.
Онлайн-ритейлер Ozon.ru прекратил присылать старые пароли пользователям в открытом виде. Об этом со ссылкой на слова техдиректора компании Анатолия Орлова пишет TJ.
Орлов рассказал о новой системе хранения паролей в ответ на комментарий одного из пользователей «Хабра». По словам Орлова, он попросил исправить проблему с паролями в апреле 2018 года, когда приступил к работе в Ozon.ru.
Сейчас ветка с этими комментариями удалена: возможно, из-за мата, который нарушает правила «Хабра». Представитель компании сообщила, что слова Орлова на скриншоте вырваны из контекста.
Редактор TJ попробовал восстановить пароль от Ozon.ru и получил ссылку на сброс пароля. С 2012 года пользователи «Хабра» и «Пикабу» жаловались, что ответ на попытку восстановить пароль Ozon.ru присылал старый пароль в незашифрованном виде.
Обновлено: Анатолий Орлов уточнил, что речь в комментариях шла только о передаче, а не о хранении паролей.
На «Хабре» обсуждалось следующее: как Ozon раньше отправлял (а не хранил) пользователям пароли при их сбросе. Так вот раньше, если пользователь восстанавливал пароль с привязанной к аккаунту почты, Ozon ему этот пароль присылал ответным письмом. При этом если пароль не восстанавливали, а пользователь регистрировался или менял пароль сам, то Ozon ему ничего не высылал, естественно.
При этом в базе пароли хранились в кодированном виде. Не в открытом доступе Excel-табличке, а в виде кода. Это означает, что получить эти пароли мог — да и то теоретически — сотрудник компании, у которого был доступ в базу и ключ кодирования. Отслеживание поведения таких сотрудников с доступами — это отдельная история, не будем вдаваться в подробности, чтобы никого не провоцировать.
В 2018 году пришла новая команда, которая сделала серьезную работу для усиления безопасности. Сами понимаете, интернет-мошенники все изобретательнее, а пользователей у компании все больше. Сейчас все пароли пользователей хранятся в хэшированном виде (aka «закодированные необратимым образом») — от пароля вычисляется необратимая функция, в результате проверить его можно, вычислив от него такую же функцию, но восстановить его невозможно. Лучше всего оберегаются те секреты, которые ты сам не знаешь.
Прекратил присылать != прекратил хранить ;-)
Комментарий удален модератором
Если не в excel, то в чем? Google sheets?
все пароли хранятся в хэшированном виде. Вот тут немного теории :) https://en.wikipedia.org/wiki/Cryptographic_hash_function
Какая разница, если сотрудник может расшифровать это обратно. Не говоря уже о том, что может быть утечка.
Если сотрудник сможет это сделать, то нет ему смысла в озоне штаны протирать. Наверное нобелевку получит по математике, жаль, что ее не существует...
А в письмо пароль по-вашему как подставляется? Его нобелевские лауреаты составляют?
Если вы видите такой сервис, который вам присылает пароли (при регистрации или при восстановлении), то бегите от него сразу же. Пароли там хранятся в открытом виде.
А про хэш-функцию вам стоит всё-таки почитать. Она необратимая. Только перебор и радужные таблицы (это если без соли)
Вы с ответом веткой промахнулись видимо. Я в курсе, что возникновение пароля в открытом виде где бы то ни было это звонок. Насчёт обратимости хеша: он необратим, но имея хеш и зная алгоритм, по которому он получен, можно сбрутить исходный пароль. Буквально 10 лет назад считалось, что md5 надёжный, а сейчас он брутится за пару секунд.
Александр, я очень хотел бы посмотреть, как вы из MD5 за пару секунд восстановите пароль-фразу объёмом с томик "Войны и мира" Толстого.
Если вы это сделаете, то можете получать Нобелевку за изобретение нового алгоритма сжатия-декодирования, когда "Война и мир" упаковывается в 32 символа, а затем обратно распаковывается в сотни страниц текста.
Прекратите паниковать уже, никто не собирается получать исходную строку из хеша. Выше пояснил что имел в виду)
Ну так бы и написали - радужные таблицы. Знание терминологии упрощает общение между коллегами
Какая разница, как это назвать, мне больше нравится когда могут просто на пальцах объяснить как это работает ;)