Vybral som najnavštevovanejšie servery podľa naj.sk plus pár československých populárnych a nechal si poslať "zabudnuté heslo".
Nešifrujú heslá
Ku podivu zo 17 veľkých serverov, len(?) 3 servery (aukcie.sk , czechcomputer.cz , profesia.sk) mi nadrsno, proti všetkým pravidlám slušného programatorského chovania poslali nešifrované heslo v pôvodnom znení do mojej freemailovej pošty. Paradoxný je pocit, keď vidíte svoje heslo napísané..až s vami trhne, keďže ste boli doteraz zvyknutí na hviezdičky :)
Jednoznačne tak vyplýva, že naše heslá sú v databázach týchto serverov uložené nekryptované a nie sú na týchto serveroch v bezpečí, v pravdepodobne sa posielajú pri autentifikácii na server nekryptované. Prekvapilo ma to u serveru aukcie.sk, kde sa do istej miery operuje s peniazmi a patričnú mieru zabezpečenia by človek očakával. Avšak aj keby nešlo o ultacitlivé dáta, ak ich nemáme zabezpečené na veľkých serveroch, aká je šanca, že budú na menších ako v to niektorí veria.
Neodpovedajú
Ako vcelku mizerný sem musím vsunúť Post.sk , ktorý nemá žiaden odkaz na zabudnuté heslo, a tak ak ho náhodou naozaj zabudnete, musíte pravdepodobne napísať sekretárke Petitpressu , ktorá vám ho asi nadiktuje z vytlačených papierov :) A keby ste si náhodou pamatali adresu hepdesku, tak mne na problém, ktorý riešim a urgoval ho dvakrát, neboli schopní za mesiac odpovedať.
S výhradami
Poďme však ďalej na servery, ktoré síce heslo priamo neposlali, ale i ich systém má isté slabšie stránky.
Servery, ktoré používajú kontrolnú otázku, ale správna odpoveď je overovaná skriptom, pričom som nezaznamenal obmedzenie v počte opakovaní. V praxi to znamená asi toľko, že nadarmo máte kryptografické heslo, keď na odpoveď na otázku "Rodné priezvisko matky" vám stačí skriptík a telefónny zoznam. Tu pomože len dobrá miera paranoje a odpoveď na otázku "obľúbené jedlo" v tvare: !xG8**/Aw . Díky. Tú sú hriešnici: POBOX.sk , ATLAS.sk (oba zastrešuje atlas-as.sk) a orangeportal.sk.
V norme
Ostatné servery sa správajú viacmenej korektne. Centrum.cz i Centrum.sk vám odporúčajú emailom kontaktovať ich helpline, kde overia odpoveď na kontrolnú otázku človekom, čo výrazne znižuje možnosť zneužitia ako v prípade overenia skriptom. Považujem to teda osobne za korektné. Po správnej odpovedi vám pridelia nové heslo (nebolo síce náhodné, ale "12345" ale čo už), ktoré vám pošlú a požiadajú aby ste ho zmenili.
Bez výhrad
Bez výrazných chýb obstáli: azet.sk , zoznam.sk , zive.sk , avizo.sk, lupa.cz (patria im i root.cz, navrcholu.cz, slunecnice.cz a ine), diskusie.sme.sk , naj.sk , t-mobile.sk (T-mobile pošle heslo na telefon, nemal som možnosť vyskúšať či nové, alebo vaše povodné nešifrované).
Ukážkovo
Krásne to má Gmail (kto by sa čudoval :)). Ak máte zadaný sekundárny email, dostanete dlhočizný aktivačný kód na jedno použitie. V prípade použitia kontrolnej otázky vás google kontaktuje výhradne až po 5 dňoch, takže ak by ste to "len skúšali" rýchlo vás to prestane baviť :)
Chlapci od Seznamu sa asi zapotili
Úplne zapeklito ma prekvapil seznam.cz (provozuje i email.cz, post.cz).. vlastne v tejto chvíli som si uvedomil haluznú situáciu, ktorá nastala. Seznam to má tak, že po zadaní emailu, ku ktorému ste zabudli heslo vám skript ponúkne priamo otázku, ktorú ste zadali pri registrácii. V mojom prípade "Číslo vodičského preukazu". Naťukal som odpoveď a presvedčený správnosťou poslal. Odpoveď už kontroluje človek a tak mi na druhý deň s ľútosťou oznámili, že som neodpovedal správne, lebo moja otázka je "Rodné priezvisko matky". Ale ako je to možné?? Tak som chlapcom zo Seznamu odpísal, že to musí byť dáka blbosť, veď skript mi ponúkol otázku "vodičáku", čo bolo aj v tele správy, ktorú mi Seznam poslal. Nechápal som.. až teraz mi zaplo! Medzitým som tu otázku (už neviem prečo) zmenil!! :)), keďže heslo som v skutočnosti poznal a iba sa tváril, že ho nemám. A tak sa ma skript pýtal starú, no programátori ráno kontrolovali novú :) Tak to som chlapcom od Seznamu pekne zamotal hlavu a uvidím, čo vymyslia, ale myslím, že sú vcelku chytrí ;-)
Čo dodať
Čo som bohužiaľ nemohol zisťovať, ako dlho uchovávajú platnosť nového hesla, ktoré vám pošlú. Pretože v prípade, že by popri vašom skutočnom platilo neobmezdene i nové, často napr. 128611, nie je táto skutočnosť až tak povzbudzujúca.
A druhá vec je, že to že vám poslali heslo nové, ešte nezaručuje, že heslá skutočne v databázach šifrujú. Dúfajme však :)
Ale predsa len nikdy nezabúdajme, že nemusím byť jediný, kto može mať prístup k mojín heslám.. a nezabúdajme rozmýšľať..
Google bomba
Na záver si nemožem odpustiť pokus o google bombu.. (pridajte sa!:D) nešifrujú heslá , nešifrujú heslá , nešifrujú heslá .
