Přišel mi před měsícem email se zapomenutým heslem do JRC. Trochu jsem se podivil – o heslo jsem totiž nežádal.
Večer přišla omluva, prý to poslali nějakým omylem všem (každému snad to jeho). A tak jsem se zeptal, jak je možné, že hesla v databázi nešifrují, že jsem si naivně myslel, že se to už dlouhou dobu nedělá.
Odpověď mě trochu dorazila, má to totiž spoustu pozitiv.
pokud neni heslo zasifrovano, je jednodussi ziskat heslo pro zakaznika. Nemusi absolvovat kolecko – zadost – potvrzeni – reset – nmastaveni. Nebo pokud potrebuje s necim pomoct napr. po telefonu, muzeme mu poradit.
Pokud se obavate bezpecnostnich rizik, tak je treba je zanalyzovat.
- pokud nekdo chce udelat falesnou objednavku, heslo k tomu nepotrebuje
- at uz je heslo zasifrovane nebo ne, pokud nekdo ziska pristup k vasemu emailu na ucet se stejne dostane
- na odchyceni hesla pri jeho zadavani to rovnez nema vliv (jak keyloger, tak odposlech http tak pripadne hacknuti naseho prihlasovaciho formulare)
- pri hacknuti databaze by mel utocnik k dispozici i vsechny ostatni udaje a heslo nepotrebuje
- zbyva to, ze zakaznici pouzivaji jedbno heslo na vsechno. To ale neni obecne nas problem. Pokud pouziva jedno heslo na vsechny eshopy – problem v tom taky nevidim.
Kdyz jsme se rozhodovali, zda hesla hasovat, nebo umoznit jednoduche ziskani hesla tak nam vyslo lepe jednoduche ziskani hesla
Mazec, hned ve mně vzbudili větší důvěru.