Войти как пользователь
Вы можете войти на сайт, если вы зарегистрированы на одном из этих сервисов:
24 Октября 2017 в 11:53

RU-Center хранит пароли пользователей в открытом виде

1 1850

Регистратор доменов RU-Center хранит пароли клиентов в незашифрованном виде. Об этом рассказал читатель портала TJournal.

Как это выяснилось?

При попытке восстановить пароль к своему аккаунту пользователь получил не привычную временную ссылку, по которой можно сменить пароль, а письмо со старым паролем.

ru.png

В чем проблема?

Это небезопасно. Чаще всего сайты не хранят копии паролей пользователей. Они переводят пароли в хеш-строку и сохраняют ее. 

При повторной авторизации введенный пароль шифруется и сравнивается два отпечатка. Совпадение хеша означает, что пользователь ввел корректные данные.

Если пароли хранятся в открытом виде, то злоумышленники могут просто украсть базу данных и получить доступ к паролям.

И что делать?

В техподдержке Ru-Center рассказали о планах перейти на новую систему по восстановлению пароля в «закрытом» виде. Но сроки не обозначили. Также пользователям рекомендуется установить запрет на отправку пароля по email в личном кабинете.

Коллеги из vc.ru приводят цитату заместителя директора по продуктам Ru-Center Андрея Кузьмичева, где он говорит о тестировании новой системы авторизации на сайте.

Андрей Кузьмичев, заместитель директора по продуктам Ru-Center

Ru-Center как старейший регистратор доменов в России, к сожалению, до настоящего момента в самых глубоких местах архитектуры имеет технологические решения, которым по 10-15 лет. Сейчас доступ к внутренним информационным системам имеет ограниченный набор сотрудников, он контролируется службой безопасности. В ближайшее время мы полностью обновим логику авторизации и восстановления доступа — новая система сейчас тестируется. Также наши клиенты в любой момент могут настроить уведомления по SMS о любых операциях с услугами и аккаунтом, ограничить доступ к операциям с аккаунтом по IP-адресу, установить запрет на получение пароля по email и запретить любые операции с доменом без личного присутствия в офисе регистратора.

Источник: tjournal.ru

1 комментарий
Подписаться 
Подписаться на дискуссию:
E-mail:
ОК
Вы подписаны на комментарии
Ошибка. Пожалуйста, попробуйте ещё раз.
  • Гость
    2
    комментария
    0
    читателей
    Гость
    1 месяц назад
    Давно пора было выводить домены от этих бездельников. Шевелятся, только когда шумиху поднимут, а цены лупят как будто их целевая аудитория - дураки сплошные
    -
    1
    +
    Ответить

Отправьте отзыв!
X | Закрыть