Teát vásároltam webáruházból, de egy nagy WTF-élményem volt. Szeretem a gunpowder green teát, és csak néhány helyen találom elfogadhatónak az árat. Szerencsére van egy webshop, ahol a személyes átvétel is útba esik nekem. Gondoltam, hogy ha rendszeresen vásárolok innen teát, akkor jó lesz regisztrálnom is a webshopba, hogy ne kelljen minden egyes vásárlás alkalmával megadnom a személyes adataimat. A megrökönyödésem akkor történt, amikor a regisztrációt visszaigazoló levelemben visszaolvastam a jelszavamat.

Ennek nem lett volna szabad megtörténnie. Egy helyes visszaigazoló levélben valahogy így nézne ki ez a szöveg:

Az Ön felhasználóneve: bakklaszlo
Az Ön jelszava: a regisztráció alkalmával megadott jelszava

Vagyis a jelszót nem tárolják olyan módon az adatbázisban, hogy az könnyen visszafejthető, ember által elolvasható legyen. A régebbi weboldalak és honlapmotorok (pl. Joomla, WordPress) MD5 titkosítást használ a jelszavak tárolására, ami azt jelenti, hogy a jelszó titkosítva szerepel az adatbázisban, és amikor belép egy felhasználó, a belépéskor megadott jelszót veti össze a rendszer a tárolt kódolt adattal, hogy megfelel-e a kettő egymásnak (durván leegyszerűsítve). Az MD5-nek az a baja, hogy az egyszerűbb jelszavakat már visszafejtették, és nagy internetes adatbázisokból ki lehet olvasni, hogy adott kódolt adat milyen jelszónak felel meg.

A PHP 5.5-tel eljöttek a password_hash() / password_verify() funkciók, és egyéb módszerek, libraryk, amikkel sokkal biztonságosabban lehet jelszókat tárolni, mint az elavult, lyukas biztonságú MD5-tel.

Mi történik, ha nem biztonságosan tárolják a jelszavakat?

A legnagyobb veszély abban van, hogy a felhasználók nem használnak minden weboldalra más jelszót, hanem mindenhol ugyanazt, vagy annak néhány variációját. Ha egy helyről kiszivárog a jelszavunk, akkor tárt ajtó lesz elég sok szolgáltatásunkhoz minden gonosztevőnek.

Gonosztevő lehet itt:

  1. A weboldal készítői, adminisztrátorai, akik könnyen hozzáférnek minden felhasználó adataihoz, akár közvetlenül az adatbázisból.
  2. A weboldalt feltörő hackerek, akik biztos, hogy könnyebben jutnak be olyan weboldalakra, ahol a felhasználók adatainak biztonságával sem törődnek.
  3. Egy a számítógéphez jobban hozzáértő felhasználó, aki a hackerek által nyilvánossá tett adatok között csemegézve próbálkozik találomra hol ezzel, hol azzal.

És most tedd fel magadnak a kérdést: Gmailhez, Facebookhoz, és weboldalakon történő regisztrációhoz ugyanazokat a jelszavakat használod?

Mit tehetsz, hogy elkerüld, hogy feltörjék a fiókjaidat?

  1. Ne használd az általad nem biztonságosnak tartott oldalakon ugyanazokat a jelszavakat, mint máshol.
  2. Ha találkozol olyan jelenséggel, hogy e-mailben viszontlátod a jelszavadat, jelezd a hiányosságot a weboldal üzemeltetőjének (esetleg el is küldheted neki ezt a cikket).
  3. Használj Facebookon, Gmailben kettős hitelesítést, hogy akkor is csak te tudj belépni, ha valaki megtudja a jelszavadat, a többi oldalon pedig Facebook vagy Gmail oAuth regisztrációt, ha ez lehetséges.