Vlákno názorů k článku
Z webu OpenSubtitles uniklo sedm milionů uživatelských účtů včetně MD5 hašů hesel
od Vlastimil Tokar - Mna by zaujimalo preco sa musim do kazdej...
-
Filip JirsákStříbrný podporovatelPro uživatele, kteří nepoužívají správce hesel, to problém je. A takových uživatelů je stále většina.
Mimochodem, prohlížeče už dlouho mají vestavěnou takovou demoverzi správce hesel. Ty demoverze dlouho neuměly unikátní hesla generovat – mám pocit, že teď už to konečně některé prohlížeče umí. Ještě se divíte, že je pro spoustu uživatelů problém generovat unikátní hesla?
-
Prohlížečoví správci hesel jsou bezpečnostní díra jako kráva. Pokud vím, Chrome ještě donedávna hesla ani nešifroval a teď, když je šifruje "heslovou frází účtu Google", se uživatele na heslo neptá = někde má v plaintextu klíč. Některé jiné prohlížeče mají možná v plaintextu přímo i to heslo.
Navíc bylo mnohokrát prokázáno, že prohlížeč je schopen heslo vyžvanit komukoliv - dřív si třeba stačilo na stránce nehlídat iframe. Plně automatický autofill (jakožto feature zapnutà by default) zase zajišťuje, že prohlížeč heslo vyžvaní nejen komukoliv, ale i kdykoliv.21. 1. 2022, 07:27 editováno autorem komentáře
-
Filip JirsákStříbrný podporovatel
To, že prohlížeč lokálně hesla nešifruje (nebo tak, že jsou snadno dešifrovatelná bez zásahu uživatele), je daleko menší bezpečnostní problém, než to, že heslo zná provozovatel webu. Vždyť si to stačí porovnat – u nešifrovaného lokálního uložení hrozí riziko, že se heslo dozví někdo další, u přihlašování webovým formulářem je jistota, že se heslo dozví někdo další (provozovatel webu).
Že prohlížeč vyžvaní heslo komukoli a kdykoli, to je problém, o kterém se diskutuje výše. Ano, přihlašování a registrace účtů by měla být řešena přímo na úrovni HTTP protokolu tak, aby heslo v otevřeném tvaru nebo ekvivalentu nikdy neopustilo bezpečnou část prohlížeče. Bohužel realita je taková, že se i v roce 2022 stále přihlašujeme plaintextem.
