Регистратор доменов RU-Center хранит пароли клиентов в незашифрованном виде. Об этом рассказал читатель портала TJournal.
Как это выяснилось?
При попытке восстановить пароль к своему аккаунту пользователь получил не привычную временную ссылку, по которой можно сменить пароль, а письмо со старым паролем.
В чем проблема?
Это небезопасно. Чаще всего сайты не хранят копии паролей пользователей. Они переводят пароли в хеш-строку и сохраняют ее.
При повторной авторизации введенный пароль шифруется и сравнивается два отпечатка. Совпадение хеша означает, что пользователь ввел корректные данные.
Если пароли хранятся в открытом виде, то злоумышленники могут просто украсть базу данных и получить доступ к паролям.
И что делать?
В техподдержке Ru-Center рассказали о планах перейти на новую систему по восстановлению пароля в «закрытом» виде. Но сроки не обозначили. Также пользователям рекомендуется установить запрет на отправку пароля по email в личном кабинете.
Коллеги из vc.ru приводят цитату заместителя директора по продуктам Ru-Center Андрея Кузьмичева, где он говорит о тестировании новой системы авторизации на сайте.
Андрей Кузьмичев, заместитель директора по продуктам Ru-Center
Ru-Center как старейший регистратор доменов в России, к сожалению, до настоящего момента в самых глубоких местах архитектуры имеет технологические решения, которым по 10-15 лет. Сейчас доступ к внутренним информационным системам имеет ограниченный набор сотрудников, он контролируется службой безопасности. В ближайшее время мы полностью обновим логику авторизации и восстановления доступа — новая система сейчас тестируется. Также наши клиенты в любой момент могут настроить уведомления по SMS о любых операциях с услугами и аккаунтом, ограничить доступ к операциям с аккаунтом по IP-адресу, установить запрет на получение пароля по email и запретить любые операции с доменом без личного присутствия в офисе регистратора.
Источник: tjournal.ru