Kiedy opisywaliśmy jak różne serwisy wysyłają hasło otwartym tekstem swoim użytkownikom, nie sądziliśmy, że trafimy na przykład jeszcze gorszych praktyk z obszaru bezpieczeństwa. O tym, jak bardzo się myliliśmy, poinformował nas nasz czytelnik.
Mieszka on w budynku zarządzanym przez firmę J.W. Construction. Jak na nowoczesną firmę przystało, udostępnia ona mieszkańcom zarządzanych przez siebie nieruchomości internetowy system, w którym mogą poczytać regulamin mieszkańca, obejrzeć najnowsze ogłoszenia, ale także sprawdzić stan rozliczeń ze wspólnotą czy też swój stan posiadania.
Każdy mieszkaniec otrzymuje od administracji swój unikatowy login oraz hasło do systemu. Są to losowo wygenerowane ciągi po 8 znaków alfanumerycznych każdy. Umożliwiają zalogowanie do dwóch systemów. Pierwszy z nich to Moje Osiedle, udostępniający dane kontaktowe firm obsługowych, regulaminy i ogłoszenia, gdzie można także zobaczyć imię i nazwisko użytkownika.
System Moje Osiedle
Ten sam login i hasło umożliwiają także dostęp do drugiego systemu, WEB Lokator, gdzie dla odmiany możemy poznać takie dane jak:
- adres posiadanego lokalu
- spis posiadanych pomieszczeń
- saldo rozliczeń finansowych wraz ze szczegółami naliczeń
- wezwania do spłaty należności
System WEB Lokator
W menu systemu znajduje się także opcja „Zmian hasła”. Nasz czytelnik postanowił skorzystać z tej opcji, ponieważ nie czuł się komfortowo ze świadomością, że ktoś może poznać jego hasło przekazane mu przez administrację. Wolał ustawić swoje. Wszedł zatem do menu zmiany hasła i przez chwilę trzymał się mocno krzesła, by nie stracić równowagi.
Wymagania wobec hasła
Tak, to nie jest wynik pracy w Photoshopie. Kryteria hasła to: minimalna długość 1, maksymalna długość 8 oraz brak jakichkolwiek wymagań złożoności (wszystkie zostały jednak pieczołowicie wyliczone). Najlepsza niespodzianka czekała jednak na koniec. Kiedy nasz czytelnik skonstruował już hasło spełniające wszystkie wymagania (np. „a”), zobaczył ten komunikat.
Komunikat systemu
Na szczęście nie poddawał się tak łatwo i napisał do administracji, że chciałby jednak zmienić hasło w systemie. Po wymienieniu kilku wiadomości otrzymał w końcu wiążącą odpowiedź, którą wklejamy w całości, bo jest tego warta.
Odpowiedź JW Construction
Tak, proszę Państwa, hasła nie można zmienić. Pomijając już fakt, że „zmiana hasła spowoduje znacznie wydłużenie się wszelkich procesów” (?!?), to spowoduje także „dodatkowe niebezpieczeństwo ingerencji w bazę Web Lokator przez osoby niepożądane„. Zablokowanie zmiany hasła stwarza lepszą ochronę danych klientów!
Jedyny pasujący mem
Przyznajemy, że trudno znaleźć nam wytłumaczenie powyższego emaila. Być może twórca systemu obawiał się, że nasz czytelnik wykorzysta pole „nowe hasło” do przeprowadzenia ataku typu SQLi lub CSRF? Może Wy macie jakiś inny pomysł?
Komentarze
Odebrać wysokie uprawnienia użytkownikom serwisów. Z drugiej strony polityka administratora jest w tym przypadku prawidłowa, o ile nie ma dostępu do serwisów z internetu zewnętrznego.
Użytkownicy serwisu maja uprawnienia do przeglądania swoich rachunków – więc chyba nie za bardzo jest co odbierać. Serwisy dostępne są z całej adresacji publicznej.
„polityka administratora jest w tym przypadku prawidłowa”
A kolega intervojager może z firmy SOFTHARD?
A kolega Solo nie umie doczytać prostego zdania do końca?
Jak dla mnie to oni szpiegują tych ludzi a hasła moze i są wygenerowane automatycznie ale dostepne dla administracji. Zmiana hasla to brak dostepu do konta przez bigbrothera. Wspaniala inwigilacja.
Przecież wszystkie dane są na ich serwerze. Fakt zmiany hasła przez użytkownika nie sprawi, że staną się zaszyfrowane.
Proponuję sprawdzić, czy wypisanie się z obydwu wspomnianych serwisów wspomoże szybsze przeprowadzanie wszelkich procesów ;)
Administrator serwisu ma jednak możliwość ustalania wymagań dla hasła (por. http://www.softhard.com.pl/offer/index/upload/id/14/product/46 ), chociaż opcją „zakaz zmiany hasła” Softhard się nie chwali
To mi wygląda na coś w stylu: „możliwość zmiany hasła wymaga zdalnego dostępu roota do bazy danych” czy coś w tym stylu. ;)
A wymagania co do samego hasła są prawidłowe – jeśli hasło ma mieć 20 małych liter, 10 dużych i 15 znaków specjalnych, to nie znaczy, że będzie bezpieczniejsze. Jedyne, co by mi przeszkadzało, to że hasło nie może być dłuższe niż 8 znaków.
Może dane w bazie danych są zaszyfrowane też przy użyciu tego hasła? :) To jedyna odpowiedź, jaka mi się nasuwa, gdy czytam „wydłużenie procesów”…