USD 67.68 ЕВРО 76.07

В сервисах аутентификации нет места любителям

Экономика

Взлом 000Webhost раскрывает плохие практики провайдеров аутентификации, позволяющие воровать данные конечных пользователей

Ситуация с безопасностью в Интернете достаточно плохая, если посмотреть на список топ 10-ти паролей, используемых в Интернете, но, как продемонстрировал взлом 000Webhost этой неделе, она еще хуже, когда ваша инфраструктура беззащитна из-за паролей, хранящихся в незашифрованном виде.
Google и другие провайдеры аутентификации, в течение многих лет просили онлайн-сервисы бросить игры с паролями, ссылаясь на сложность, ответственность, отсутствие знаний и угрозы взлома. Тринадцать миллионов клиентов 000webhost хотели бы, чтобы их сервис последовал данному совету.
В 2013 году программа-взломщик паролей oclHashcat-plus была улучшена, что позволило ей вскрывать пароли длиной до 55 символов. Ни один из топ-10 паролей, используемых сегодня миллионами конечных пользователей, не длиннее девяти символов (123456789 вошел в десятку под номером 6). Но даже тогда 000Webhost хранила пароли в незашифрованном виде, так что сложный пароль, даже в 56 символов, не давал шанса сохранить тайну.
Клиенты 000Webhost, которые повторно использовали свои пароли на других сайтах, оказались в худшей ситуации, так как хакеры использовали их, чтобы проникнуть на эти дополнительные сайты. Данные, похищенные из 000Webhost и выложенные в Интернете, включают имена и адреса электронной почты, что упрощает хакерам вторичную атаку.
Любительский статус 000Webhost проявлялся во многом: незашифрованное HTTP соединение на странице входа в систему, текстовый пароль в URL-адресе, отсутствие хэширования, устаревшее и уязвимое программное обеспечение платформы. Литовский сервис рекламирует надежный и высокоскоростной бесплатный веб-хостинг, и использует эту платформу для продажи других сервисов. Freemium-модель часто таит в себе опасность из-за отсутствия гарантий безопасности.
Так каков же ответ? Очевидно, что он включает в себя много переменных.
Нужно менять привычки конечных пользователей, средства безопасности должны стать проще в использовании, осведомленность о правах (и рисках) должна повышаться, и пароли не могут больше предлагается в качестве защиты конфиденциальных данных и приложений.
Слоган 000webhost гласит: лучше, чем платный хостинг.
Возможно, он нуждается в обновлении: Вы получаете то, за что заплатили.