Крупнейший российский регистратор доменов на протяжении 7 лет хранит пароли в открытом виде.
Пару лет назад мне достался во владение один из RU доменов, зарегистрированных на nic.ru. Цены на продление домена у данного регистратора не самые низкие, но мне было лень ради экономии в 200-300 рублей заниматься переносом домена к другому регистратору.
В сентябре этого года нужно было продлить домен, и я забыл пароль от своего аккаунта. Отправил запрос на восстановление доступа, а также продолжил наводить порядок в своих файлах, чтобы больше не терять данные для продления доменов. Чаще всего интернет-сервисы присылают на почту письмо с временной ссылкой, пройдя по которой можно ввести новый пароль. Но в данном случае был прислан старый пароль.
Обычному человеку без особых познаний в сфере компьютерной безопасности может показаться удобным данный способ. Восстановил пароль, получил его на почту и не нужно каждый раз придумывать новый набор символов.
На практике сайты не хранят копию вашего пароля. После регистрации ваш любимый «qwerty123» превращается в хеш-строку, которую нельзя расшифровать. Хеш сохраняется в базе и становится «отпечатком» для вашего пароля. При повторной авторизации введенный пароль шифруется и сравнивается два отпечатка. Совпадение хеша означает, что пользователь ввел корректные данные.
Если пароль пользователя хранится в открытом виде, злоумышленнику достаточно своровать базу данных, чтобы он смог получить доступ к закрытой части сайта. Часто пользователи используют один и тот же пароль для разных сервисов, что позволяет получить доступ к почте, социальным сетям и другим ресурсам.
Ru-Center достаточно давно хранит пароли в открытом виде. Еще в 2010 году на Хабрхабре возмущались подобным поведением регистратора. С тех пор ничего не поменялось, а на мой запрос техническая поддержка сообщила, что новую систему авторизации скоро внедрят, но неизвестно когда.
К сожалению, в настоящий момент система восстановления пароля работает только так (при восстановлении пароля на e-mail он отправляется в открытом виде). Разработчики работают над внедрением новой системы по восстановлению пароля в «закрытом» виде. На данный момент, мы можем порекомендовать Вам установить запрет на отправку пароля по e-mail, в Личном кабинете.Точных сроков её реализации мы пока не можем Вам сообщить.
На секунду представьте, что кто-то из технического персонала сможет скопировать базу данных с паролями. Это позволит перехватить контроль над большим количеством русскоязычных доменов. Например можно подменить сайт kremlin.ru и разместить на нем фейковый пресс-релиз о начале войны с каким-либо государством.
Обновлено в 17:00: представитель Ru-Center в разговоре с vc.ru рассказал о проблеме хранения паролей клиентов в незашифрованном виде, но отметил, что доступ к информационным системам имеют только некоторые сотрудники. По его словам, дело в устаревших технологических возможностях регистратора.
В ближайшее время мы полностью обновим логику авторизации и восстановления доступа — новая система сейчас тестируется. Также наши клиенты в любой момент могут настроить уведомления по SMS о любых операциях с услугами и аккаунтом, ограничить доступ к операциям с аккаунтом по IP-адресу, установить запрет на получение пароля по email и запретить любые операции с доменом без личного присутствия в офисе регистратора.
Кстати TJournal и другие проекты ИД «Комитет» также зарегистрированы через Ru-Center.
Чтобы не ждать ситуации, когда база паролей утечет, придется заняться процессом перевода домена к другому регистратору.
OZON тоже хранит в открытом виде.
ЕМНИП, Читай-Город аналогично, тут не могу с уверенностью сказать уже подзабыл сейчас у меня там вообще лютейший рандом.
Вообще, такие сайты что присылают после регистрации пароль на почту, даже сгенерированный их системой я стараюсь избегать. Это просто недопустимо. Если я палю сервис на хранении моего реально пароля и если он может быть полезным как ozon, я буду пользоваться только в read only режиме. Это просто зашквар, хранить в открытом виде пароли таким компаниям. У них там что, программисты до сих пор не понимают как работают авторизации через зашифрованные пароли? Перевести всех юзеров, зная их исходные пароли, на зашифрованные, дело пустяковое, но они продолжают хранить в открытом виде.
С недавних пор завел менеджер паролей и вообще на всех сайтах лютый рандом вместо пароля, я его вижу один раз при генерации, и всё, забываю. Но даже при этом я продолжаю игнорировать подобные сайты. Это же какая безответственность и непрофессионализм, что даже пароль нормально защитить не могут.
Недавно был в отделении Сбербанка, девушка забирала перевыпуск карты, но так как она ей не пользуется, забыла пин. Мы сразу и спросили, а можно пин поменять? Диалог вышел примерно следующего содержания:
- К: Для смены пин-кода надо заказывать перевыпуск карты.
- Я: Зачем? Вы же сейчас прямо выдаете новую карту, в чем проблема? Паспорт при себе, она физически здесь.
- К: У нас только через перевыпуск.
- Я: Вы точно ничего не путаете? Пин-код меняется перевыпуском карты? Вы серьезно?
- К: Да, мы же не храним пин-коды карт клиентов.
- Я: А как это вообще связано? Даже если сейчас напишим письменное заявление пин-код не смените?
- К: Нет.
Это ещё к слову о том, что Греф заявлял на днях что программисты не нужны.
Сайт может пароль сгенерировать, послать, после этого зашифровать и сохранить. Т.е. если при регистрации на почту пришел пароль, это еще не значит что он хранится незашифрованным. Если при восстановлении пароля, как указано в посте, то это уже да.
Может да, а может и нет, но это плохой признак.
И высылают простые пароли. Человек со стороны увидев письмо, спокойно сможет запомнить подобные пароли.
Если не хочется при регистрации запрашивать пароль, то есть более нейтральные решения. Например, можно высылать вместо пароля ссылку для одноразового входа (скрин 2). Перейдя по которой он будет авторизован и сразу направлен на страницу смены\установки пароля, а ссылка станет недействительной. Такую ссылку увидив случайный человек не запомнит при всём своем желании. Перехватив письмо и поздно спохватившись, ссылка окажется недействительной. А это хоть какая-то забота о безопасности пользователя.
так и есть, новая карта идет с пинкодом в конверте, банк не хранит пинкоды - политика безопасности, постановить пинкод нельзя, только новую карту запросить
сменить ПИН можно лишь зная действующий, и это не в банке делается, а в банкомате.
ну по крайней мере в цивилизованном мире.
Я все равно не понимаю как это вяжется с её словами.
Я уверен на 100% что банк хранит хэш пин-кода каждого клиента. Иначе как бы они сверяли введен корректный пин-код или нет. В открытом виде, я очень надеюсь что не хранят, но хэши просто должны быть.
Соответственно для банка сменить пин не проблема, достаточно обновить хэш. Для этого достаточно ввести новый пин, прогнать через их алгоритм, получить новый хэш и записать. При следующем вводе нового пин-кода в терминале, БД сравнит хэши, они совпадут - операции над картой откроются.
Я понимаю что это может быть связано с политикой сбербанка о какой-то безопасности, что нет простого пути смены пина если ты его забыл. Но перевыпускать карту то зачем? Человек лично пришел в отделение, если им так важно снять с себя ответственность, напишит заявление на смену пинкода. На их кассах обычно стоят соответствующие терминалы которые позволяют для карты ввести пин-код, который они могут захэшить и записать хэш как новый пин-код. Я не вижу никаких технических сложностей.
Так что на основании такого вот мнения, считаю, что смена пин-кода перевыпуском карты — это тупо лишний повод подзаработать, потому что перевыпуск платный. Никаких технических сложностей за этим не стоит вообще. И я не понимаю как ответ "что они не хранят" пин-коды отвечает на данный вопрос. Хэши хранят, в открытом виде нет, ну и что, как это меняет ситуацию.
хеш пинкода храниться на карте, выдрать можно, но зачем это банку? банк не благотворительная организация, они идут самым простым и прибыльным для банка путем - перевыпуск карты
интересы клиента не входят в сферу интересов банка. Хороший клиент - приносит деньги в банк переводом, больше никаких операций не делает и вообще не проявляет себя никак, идеальный - вкинул деньги и помер не оставив наследников
Тогда каким образом другие банки позволяют менять пин из приложения не ходя к банкоматам? Я догадывался что хэш может быть на карте, но как тогда работает смена пина онлайн я не понимаю.
когда вставляете карту в терминал/банкомат видимо сервер банка отправляет обновленную информацию, новый хеш летит на микрочип карты.
Это всего лишь мои догадки, я не работаю в банковской сфере
у нас перевыпуск карты стоит €10, так, что банк с удовольствием хоть ежедневно будет вам перевыпускать карты, ведь себестоимость наверняка меньше €1
я уже писал банку не интересно восстанавливать пинкод, банку интересно получить денег
Ну да. Как я изначально и написал. Технически они имеют все средства сделать так, но не делают ибо им выгоднее перевыпустить за кэш.
У меня 2 из 3ех карт имеют возможность менять пин онлайн, и 1 что не может - сбер.
Кому было критично, вывели домены еще после истории с торрентс.ру, регистрацию которого отозвали просто потому что пошли вы нахуй, вот почему.
Кому было критично, вывели домены еще после истории с торрентс.ру ...и перевели к партнёру РуЦентра
Я так понимаю такое распиздяйство много где происходит. Помню какой-то год произошла утечка данных по информаторам Госнаркоконтроля с именами адресами проживания и расшифровкой телефонных сообщений. То есть человек, совершая свой гражданский долг, рисковал своей безопасностью, государство просто не смогло элементарно защитить эту информацию.
И после подобной хуйни они ещё требуют бэкдоры и ключи от всего.
Была ведь недавно еще история с налоговой, когда организациям рассылали по почте экселевский файл с закрытыми данными херовой тучи юрлиц с указанием найти себя там и вписать недостающее.
Напомните ссылкой, если можно
Ойвей, память меня малость подвела, там пенсионный фонд, а не налоговая.
https://geektimes.ru/post/290957/
T████████████████████████ q
Хороший пароль. Надежный
Комментарий недоступен
Комментарий недоступен
Что посоветуете вместо руцентра?
Комментарий недоступен
Техподдержка у них отличная. Отвечают моментально.
А мне думалось, что timeweb.com это Apple в области хостинга
Ни разу у них не срабатывала ни одна оповещалка о том, что деньги на аккаунте кончились. Без объявления войны просто останавливали виртуалки.
Среди ночи нереально подумать, что стоп обусловлен что тупо денег нет на счете, а не авария, сбой или еще что... Поубывав бы.
Это Вы ещё с Гоудэди не сталкивались. С Ру-центром неудивительно. А Рег-ру так вообще светит всеми твоими личными данными в интернете, пока не заплатишь, чтобы их скрыть.
А что с godaddy?
Комментарий недоступен
Ярые спамеры: сами пишут по пять писем на каждое действие. Из-за них, видимо, продают личные данные сразу, тоже каждый день пишет по десять левых адресов о какой-то хуйне про твой домен: что его уже заняли, что хотят купить за бешенные деньги, что его украли и т. д.
Кроме того, сам Гоудэди, хотя ты точно хранишь сложный пароль, постоянно при входе на сайт либо просит его сменить, потому что якобы взломали, либо пишет, что это неправильный пароль.
На этом безумие первых дней не закончилось. Они разделегировали домен через неделю, сославшись на какую-то хуйню, хотя он уже застолбился за мной. Подробностей особых уже не помню, было с года два назад. Убежал оттуда.
Вот еще в Википедии почитайте, за что их заслуженно ненавидят: https://ru.wikipedia.org/wiki/Go_Daddy
Плюсую. С Go-Daddy связываться нельзя ни при каких обстоятельствах. Используйте лучше namecheap
Здравствуйте! Пожалуйста, уточните о чем идёт речь в случае компанией REG.RU? Для доменов .RU/.РФ данные скрыты по умолчанию. Что касается .COM, .NET и других, то при регистрации можно подключить услугу Private Person совершенно бесплатно.
Как я помню, эта услуга не была бесплатной, когда держал домен. Хорошо, чуть позже напишу подробности.
Спасибо, буду ждать. Просьба уточнить доменную зону, о которой идёт речь. Если не хотите публично называть домен, можно в ЛС отправить.
Всё-таки, это не бесплатно. Плюс, когда я регистрировался, а это было давно, такой возможности не было предусмотрено (точно, я проверял): https://www.reg.ru/support/domains/skrytie-personalnyh-dannyh/Skrytiye-personalnykh-dannykh-dlya-domenov-v-mezhdunarodnykh-zonakh-lya-roznichnykh-kliyentov-kompanii-REG.RU
В результате сервис whois на Рег-ру ныне выдаёт меня с потрохами :-) В принципе, я уже потерял интерес к этому домену, поэтому сейчас жду его разделегирования. Приобрету другой чуть позже.
Также:
Михаил, попробуйте ещё раз. При регистрации возможность выбора Private Person присутствует. В той же справке указано, что PP становится платной лишь со второго года: cтоимость услуги 199 рублей/год. А по поводу скриншота: можете назвать домен? Возможно, он у партнёра?
В целом, к Рег-ру и Бегету у меня меньше всего претензий.
Открытие пароли - полбеды этого ебаного руцентра.
Все согласно пакету Яровой. Ключи переданы в ФСБ.
Зато в рекламу вливают килобаксы (во всяком случае раньше). Хостинг у них, если что, тоже довольно пакостный.
вот по этому, у меня в руцентре ничего не лежит
Надеюсь, это только Светлана не врубается в чем смысл претензии
Не понятно зачем вообще туда "вводят".
Надо было валить с него еще в 2k10 году
http://rutracker.news/2010/02/18/%D0%AD%D1%82%D0%BE-%D0%B2%D1%81%D0%B5-%D1%82%D0%B0%D0%BA%D0%B8-%D1%81%D0%BB%D1%83%D1%87%D0%B8%D0%BB%D0%BE%D1%81%D1%8C/