Flere selskaper har nylig innrømmet å lagre passord i ren tekstformat. Det er som å lagre et passord i Notisblokk og lagre det som en .txt-fil. Passord bør saltes og hashes for sikkerhet, så hvorfor skjer det ikke i 2019?
Hvorfor passord ikke bør lagres i ren tekst
Når et selskap lagrer passord i ren tekst, kan alle som har passorddatabasen – eller hvilken som helst annen fil passordene er lagret i – lese dem. Hvis en hacker får tilgang til filen, kan de se alle passordene.
Å lagre passord i ren tekst er en forferdelig praksis. Bedrifter bør salte og hash passord, som er en annen måte å si «å legge til ekstra data til passordet og deretter kryptere på en måte som ikke kan reverseres.» Vanligvis betyr det at selv om noen stjeler passordene ut av en database, er de ubrukelige. Når du logger på, kan selskapet sjekke at passordet ditt samsvarer med den lagrede krypterte versjonen – men de kan ikke «arbeide bakover» fra databasen og bestemme passordet ditt.
Så hvorfor lagrer bedrifter passord i klartekst? Dessverre er det noen ganger at selskapene ikke tar sikkerhet på alvor. Eller de velger å kompromittere sikkerheten i bekvemmelighetens navn. I andre tilfeller gjør selskapet alt riktig når du lagrer passordet ditt. Men de kan legge til overivrige loggingsfunksjoner, som registrerer passord i ren tekst.
Flere selskaper har feil lagret passord
Du kan allerede være påvirket av dårlig praksis pga Robin Hood, Google, Facebook, GitHub, Twitter og andre lagrede passord i ren tekst.
Når det gjelder Google, var selskapet tilstrekkelig hash og salting passord for de fleste brukere. Men G Suite Enterprise-kontopassord ble lagret i ren tekst. Selskapet sa at dette var gjenværende praksis fra da det ga domeneadministratorer verktøy for å gjenopprette passord. Hadde Google lagret passordene riktig, hadde det ikke vært mulig. Bare en prosess for tilbakestilling av passord fungerer for gjenoppretting når passord er riktig lagret.
Når Facebook også innrømmet å lagre passord i ren tekst ga det ikke den eksakte årsaken til problemet. Men du kan utlede problemet fra en senere oppdatering:
…vi oppdaget flere logger over Instagram-passord som ble lagret i et lesbart format.
Noen ganger vil et selskap gjøre alt riktig når du først lagrer passordet ditt. Og legg deretter til nye funksjoner som forårsaker problemer. I tillegg til Facebook, Robin Hood, Github, og Twitter ved et uhell logget ren tekstpassord.
Logging er nyttig for å finne problemer i apper, maskinvare og til og med systemkode. Men hvis et selskap ikke tester den loggingsevnen grundig, kan det forårsake flere problemer enn det løser.
Når det gjelder Facebook og Robinhood, når brukere oppga brukernavn og passord for å logge på, kunne loggingsfunksjonen se og registrere brukernavnene og passordene etter hvert som de ble skrevet inn. Den lagret deretter loggene andre steder. Alle som hadde tilgang til disse loggene hadde alt de trenger for å overta en konto.
I sjeldne tilfeller kan et selskap som T-Mobile Australia se bort fra viktigheten av sikkerhet, noen ganger i bekvemmelighetens navn. I en siden slettet Twitter-utveksling, forklarte en T-Mobile-representant til en bruker at selskapet lagrer passord i ren tekst. Ved å lagre passord på den måten kunne kundeservicerepresentanter se de fire første bokstavene i et passord for bekreftelsesformål. Når andre Twitter-brukere passende påpekte hvor ille det ville være hvis noen