David Pilař nedávno na Twitteru přišel s dobrou připomínkou toho, „jak poznat e-shopy s hesly uloženými v plaintext?„. Odpověď nabídl rovnou, tedy, že „na vyžádání je pošlou na e-mail„. A co navíc, uvedl i příklad jednoho takového e-shopu, který to zjevně s bezpečnostní zákazníků vůbec vážně nemyslí (popron.cz, ale to je teď vedlejší).
S hesly na Internetu je to tak, že by nikdo neměl ukládat vaše heslo. Hesla se na Internetu převádějí do „šifrované“ číselné podoby, pokud to chcete tak zjednodušeně nazvat, byť lepší je nazvat to otiskem.. Takové podoby, ze které nelze nijak snadno získat zpátky heslo – ve skutečnosti se tomu říká hash případně ještě lépe tzv. salted hash (ale to píšu hlavně pro laiky a hlavně pro případ, že na to narazí). Viz též Jak zjistit heslo, když jsem přihlášený
Jak si mohou pamatovat heslo a přitom ho neuložit?
V zásadě to funguje tak, že když vezmete nejpoužívanější heslo (12345) tak třeba tzv. MD5 hash je 827ccb0eea8a706c4c34a16891f84e7b. Právě toto by si měl výše zmíněný e-shop uložit. A nikoliv „12345“, které vám ochotně při „zapomenutí hesla“ pošle zpátky.
Prosím pěkně, pokud vám kterýkoliv e-shop či internetová služba prostě pošle „zapomenuté heslo“, tak je něco zcela fatálně špatně. Znamená to, že kdokoliv může zjistit vaše heslo. Znamená to, že pokud této službě někdo hackne databáze, tak získá hesla všech uživatelů. A znamená to, zejména pokud je to e-shop a ne nějaké bezvýznamná služba, tak tam pracují ne zcela zodpovědní lidé.
Samozřejmě, 827ccb0eea8a706c4c34a16891f84e7b je profláklý md5 hash, takže se moc dobře ví, že pasuje na 12345. Jenže vy určitě víte, že heslo musí být pořádné, silné, delší a tam už to tak jednoduché nebude. Protože jenom obtížně 9eae8bebcdd19883e7a47a682300799b převedete na původní heslo. Zdůrazním to, že obtížně, protože technicky to možné je. A také to, že MD5 je hodně slabý příklad hashování a pro věci jako e-shop zásadně nestačí..
Mimochodem, stejně nezodpovědné chování je takové, které vám při registraci do jakékoliv služby pošle heslo, co jste si vyplnili e-mailem. Sice to nemusí nutně znamenat, že si ho provozovatel uložil nehashované, ale znamená to, že ho sdělil celému světu. A také ho nejspíš necháte ležet ve vaší poštovní schránce, takže usnadníte útočníkovi aby se tam později vydal a použil ho (byť mu tak jako tak bude stačit, že ví kde jste si založili účet, protože si ho přece může resetnout).
Bezpečná hesla, správci hesel a dvoufaktorové ověření, nezapomeňte
Všechno tohle ještě samozřejmě souvisí s bezpečnými hesly. O tom ale někdy jindy, do té doby zkuste TIP #033: Správce hesel vám pomůže nejenom si hesla pamatovat, ale také zlepší bezpečí. Ale také zkuste Dvoufaktorové ověření použijte všude tam, kde chcete lépe zabezpečit účet, protože s hesly je to prostě těžké.
A ještě jeden tip bychom tu měli, jak vůbec zacházet s hesly na Internetu? Tam se dozvíte více o tom jak tvořit lepší hesla, ale také třeba to, jaká hesla lidé nejvíce používají (a jak nebezpečné to je).
PS: Těm co tomu opravdu rozumí se rovnou omlouvám, zjednodušil jsem to pro poněkud laičtější publikum. Tohle není odborný web o bezpečnosti, ale prostě @365tipů.
TIP: Jak často si mám měnit heslo? Kdy je nutné si heslo změnit a kdy je lepší to nedělat vám vysvětlí vše podstatné o změnách hesla.
