Пользователи интернета еще в 2010 году обратили внимание, что Ru-Center хранит свои пароли в открытом виде, тогда как большинство компаний используют хэш-шифрование. Когда пользователь вводит пароль он превращается в шифрованный отпечаток и когда впоследствии пользователь вводит пароль то система сравнивает два отпечатка, то есть сам пароль в открытом виде никуда не пересылается.
Ru-Center хранит пароли в изначальном виде, что можно обнаружить например когда пользователь пытается восстановить пароль - новый пароль компания просто присылает по почте в теле письма, такая практика действует и сейчас. Проблема усугубляется тем, что большинство пользователей использует один и тот же пароль для разных сервисов, то есть утечка базы Ru-Center может скомпрометировать большое число сервисов в Рунете.
Комментарий "Роем!": Ru-Center оправдал техническое отставание преклонным возрастом компании:
RU-CENTER как старейший регистратор доменов в России, к сожалению, до настоящего момента в самых глубоких местах архитектуры имеет технологические решения, которым по 10-15 лет. Сейчас доступ к внутренним информационным системам имеет ограниченный набор сотрудников, он контролируется службой безопасности. В ближайшее время мы полностью обновим логику авторизации и восстановления доступа (новая система сейчас тестируется). Также наши клиенты в любой момент могут настроить уведомления по SMS о любых операциях с услугами и аккаунтом, ограничить доступ к операциям с аккаунтом по ip-адресу, установить запрет на получение пароля по e-mail и запретить любые операции с доменом без личного присутствия в офисе регистратора. Последние годы мы планомерно приводим в порядок наши внутренние системы и сервисы — в результате мы получим не только современные и удобные пользовательские интерфейсы и продукты, но и безопасную и масштабируемую внутреннюю инфраструктуру, - сказал Андрей Кузьмичев, директор по продуктам RU-CENTER.
Добавить 15 комментариев
> хэш-шифрование
Это оксюморон. Либо мы делаем хеширование, либо шифрование.
> то есть сам пароль в открытом виде никуда не пересылается
Так никто не делает. В 99.99% реализаций аутентификации по паролю, он (пароль) пересылается в открытом виде и при регистрации и при логине.
Создалось впечатление, что автор не владеет темой.
>Так никто не делает. В 99.99% реализаций аутентификации по паролю, он (пароль) пересылается в открытом виде и при регистрации и при логине.
Создалось впечатление, что автор не владеет темой.
Если https соединение, то про какую открытую пересылку пароля вы говорите в случае использования например md5 или sha256 ?
Сервер получив пароль от пользователя по шифрованному каналу https, делает отпечаток hd5 или sha256 и все, больше пароль в открытом виде нигде не хранится.
Если юзер просит напомнить ему пароль то его просто негде взять, потому как из отпечатка его уже не возможно восстановить, юзеру отправляется на его емаил форма по которой он просто вводит уже новый пароль.
> Если https соединение, то про какую открытую пересылку пароля вы говорите в случае использования например md5 или sha256 ?
Вот внутри https соединения оно и пересылается в открытом виде (plain text). А вовсе не уже посчитанный на клиенте хеш.
А то что иногда страница логина не под HTTPS, или там пароли хранятся в plain text, это не имеет отношения к моему утверждению :)
>Вот внутри https соединения оно и пересылается в открытом виде
https это не открытый вид, если сервер нигде не сохраняет пароль в открытом виде а сразу делает отпечаток то перехватить его не возможно, так что как оно идет там в самом https уже не важно.
>А то что иногда страница логина не под HTTPS
Тут да, но все равно перехватить пароль в http в момент регистрации конкретного юзера это не тоже самое как если бы пароли открытые лежали в базе и ждали своей sql инъекции.
Внутри зашифрованного файла с паролем этот пароль тоже лежит в открытом виде. А толку?
> https это не открытый вид
Это уже спор об определениях. За это не люблю русскоязычные термины. Хер поймешь, какой именно из оригинальных терминов тут имеется в виду.
Ну и да, MITM и прочее никто не отменял. А руцентру пожелаем продуктивности в переписывании систем. :)
Внутри зашифрованного файла пароль не лежит, а лежит только хеш с солью.
Ну, у нормальных людей.
Из хеша пароль восстановить невозможно, поэтому пока пользователь не пришел в очередной раз логиниться, пароля в plain text нигде нет.
Божественно!
Один дурак набредил, другой дурак спалил контору.
> пароля в plain text нигде нет
А как же классический C:\Users\%USERNAME%\Desktop\пароли.txt ? =)
Впрочем, я тут подумал, при перехвате файла с хешами, при известной соли, перебрать все букво-цифровые пароли не очень долгое занятие.
Можно использовать хеширование в цикле, впрочем, сейчас так и делают.
Вообще треш конечно, я тут вспомнил что у меня там сайтов .рф лежит на 500 т.р. (по аукциону еще набрал когда .рф стартовала) конечно не одного путного сайта среди нет и если какому то dns сменят не беда, но это у меня так, а у кого то там может и рабочий сайт имеется где смена dns даже на сутки в копейку влетит.
Дикая отсталость для ведущего регистратора, не удивлюсь что у них пароли в открытом виде еще и в dbf лежат, чтоб прям вообще олдскул.
>В ближайшее время мы полностью обновим логику авторизации и восстановления доступа (новая система сейчас тестируется).
Ооо, да мы еще авторизацию от аутентификации не отличаем, уж обновят так обновят.
> Ооо, да мы еще авторизацию от аутентификации
> не отличаем, уж обновят так обновят.
Так может отличают как раз? =) Есть же там тыщи доменов, которые можно пока сдавать в аренду до момента, пока владелец не чухнет. А там уж «ой-ой-ой, это всё китайские хакеры, вот вам скидка в 3%».
>Есть же там тыщи доменов, которые можно пока сдавать в аренду до момента, пока владелец не чухнет.
По моему вы конспирологию с бардаком смешали.
Не ищите злой умысел там где все можно объяснить глупостью (с)