Perché alcune grandi aziende conservano ancora le password in formato testo / decrittografabile? [chiuso]

4

Nelle ultime due settimane mi sono imbattuto in due aziende piuttosto grandi che sembrano non avere una sicurezza delle password rigorosa:

  1. Tesco - memorizzano le password in un formato "crittografato", ma possono decrittografare la password e poi inviarle via email quando fai clic su "Ho dimenticato la mia password"
  2. Plusnet - memorizzano nuovamente le password in una forma di testo semplice / in formato crittografato, ma le decodificano e le mostrano quando fai clic su "Ho dimenticato la mia password". Non male come Tesco, non ti inviano la password via email, ma inviano un link "recupera password" e facendo clic su questa si apre una finestra del browser che mostra la tua password in testo normale (ovviamente su una connessione https).

La mia domanda è, qual è la ragione di questo? Sia Tesco che Plusnet memorizzano i dati della carta di credito del cliente, quindi sicuramente la sicurezza dovrebbe essere in prima linea nella loro mentalità.

Voglio sapere se ho torto credendo che stiano memorizzando le password in modo insicuro. Avranno processi, politiche e tecnologie in atto che rendono questa situazione sufficientemente sicura che il modo in cui memorizzano le loro password è banale?

Avranno una speciale crittografia a due vie che non può essere decifrata dagli hacker? per esempio. nello stesso modo in cui https o API funzionano con una chiave privata?

Avranno un'adeguata sicurezza sui loro database in modo tale che questo non sarà mai un problema, gli hacker non avranno mai accesso ai dati? (A giudicare da linkedin, sony e yahoo questo sarà sempre un problema!).

O ho ragione nel ritenere che sia sbagliato, e in tal caso perché? La compagnia è ignorante? cioè non capiscono / sanno che quello che stanno facendo è sbagliato? Sono arroganti? pensano che nessuno li hackerà mai? O è qualcos'altro?

Grazie.

    
posta Thomas Clayson 20.08.2012 - 17:18
fonte

1 risposta

3

Ci sono molti problemi qui.

In primo luogo, molte aziende non lo considerano una vulnerabilità. Pensano che la crittografia sia sufficiente e pensano che in realtà non siano davvero un obiettivo. Non si rendono conto che hanno torto fino a quando qualcuno non entra nel loro database e ruba tutte le password memorizzate.

Successivamente, ci sono alcuni problemi di conoscenza. Come memorizzi in modo sicuro le password? Salutare e hashing con MD5 / SHA come hai detto in realtà è non sicuro. Dovresti utilizzare algoritmi di hashing adattativi come bcrypt . Molti sviluppatori non conoscono il modo corretto di fare cose come questa, soprattutto perché il metodo più sicuro cambia abbastanza spesso.

C'è anche il problema dell'usabilità. Se hai cancellato la password, non puoi offrire ai tuoi utenti la possibilità di recuperare la loro password. La maggior parte degli utenti non si rende conto che si tratta di una vulnerabilità e la desidera come funzionalità. Le aziende probabilmente valutano l'usabilità per la sicurezza. Ciò risale alle aziende che pensano di non essere un bersaglio, quindi non devono preoccuparsi di aggiungere tutte queste funzionalità di sicurezza. Anche la progettazione di una corretta reimpostazione della password non è banale per essere corretta.

    
risposta data 20.08.2012 - 17:23
fonte

Leggi altre domande sui tag