10.4.2018 11:15 | Bezpečnosť

Rakúsky T-Mobile ukladá heslá v plaintexte. Vraj je to v poriadku

ilustračná snímka
V USA heslá neukladajú ako holý text. Zdroj: iStock

Po vlnke kritiky svoj názor zmenil. Heslá lepšie zabezpečí.

Rakúsky operátor T-Mobile Austria na Twitteri priznal, že heslá zákazníkov k ich účtom sú aspoň z časti ukladané vo forme holého textu, upozornil web Motherboard. Ide o prvé štyri znaky hesla.

Hoci spoločnosť spočiatku trvala na tom, že údaje dokáže dostatočne zabezpečiť a žiadne nebezpečenstvo nehrozí, neskôr názor zmenila. Všetky heslá bude šifrovať, zavedie aj ďalšie opatrenia.

Hovorca firmy pre web Gizmodo potvrdil, že servisní agenti skutočne vidia časť zákazníckych hesiel, ale tie sú uložene v zašifrovanej databáze. Firma tiež používa jednorazové PIN kódy pre autentifikáciu klientov a zvažujú aj nasadenie hlasovej biometrie.

Neskôr T-Mobile na Twitteri spresnil, že všetky heslá bude odteraz saltovať [k heslu sa pripojí ďalší text, čím sa po zašifrovaní eliminujú niektoré bezpečnostné riziká, pozn. red.] a následne hashovať. Pracovníci podpory viac ich obsah neuvidia. Za nešťastnú komunikáciu zamestnancov, ktorá mohla miestami vyznievať až mierne arogantne, sa ospravedlnil. Potrebné zmeny chce zapracovať čo najskôr.

Nepochopiteľný prístup

Na praktiky okolo ukladania hesiel sa pýtala istá zákazníčka, ktorej iný používateľ Twitteru naznačil, že jednotliví operátori na zákazníckej linke majú prístup k heslám. Pracovníčka on-line podpory následne potvrdila, že každý servisný agent vidí prvé štyri znaky hesiel zákazníkov.

Na obavy o bezpečnosť zákazníkov vzápätí reagovala ďalšia pracovníčka so slovami, že v tom nevidí problém, všetky dáta sú zabezpečené a niet sa čoho báť.

Iný z používateľov sa zástupcu spýtal na situáciu, kedy by zabezpečenie firmy bolo prelomené. Aj na to mal člen firmy zaujímavú odpoveď: „Čo ak sa to nestane, pretože naša bezpečnosť je neskutočne dobrá?“

V dnešnej dobe sofistikovaných kybernetických útokov ide určite o trúfalé tvrdenie a každá spoločnosť by mala dostatočným spôsobom heslá zabezpečiť.

Ak totiž hacker získa heslá, z ktorých prvé štyri znaky pozná, výrazne mu to uľahčuje snahu o uhádnutie zostávajúcich znakov. Najmä v prípade, že ide o nejaký zmysluplný text a nie náhodnú spleť čísel a písmen. Aj v takom prípade je ale možné ľahšie a za kratší čas uhádnuť zvyšok znakov pomocou útoku „hrubou silou“, teda postupným hádaním všetkých možných kombinácií.

Do diskusie na Twitteri sa zapojil aj americký T-Mobile, aby svojich zákazníkov ubezpečil, že za oceánom všetky heslá šifruje.

Diskusia 8 Príspevkov