09.08.2012 | 08:18

Adam Haertle

„Nie może Pan zmienić swojego hasła, bo to niebezpieczne”, czyli kuriozum roku

Kiedy opisywaliśmy jak różne serwisy wysyłają hasło otwartym tekstem swoim użytkownikom, nie sądziliśmy, że trafimy na przykład jeszcze gorszych praktyk z obszaru bezpieczeństwa. O tym, jak bardzo się myliliśmy, poinformował nas nasz czytelnik.

Mieszka on w budynku zarządzanym przez firmę J.W. Construction. Jak na nowoczesną firmę przystało, udostępnia ona mieszkańcom zarządzanych przez siebie nieruchomości internetowy system, w którym mogą poczytać regulamin mieszkańca, obejrzeć najnowsze ogłoszenia, ale także sprawdzić stan rozliczeń ze wspólnotą czy też swój stan posiadania.

Każdy mieszkaniec otrzymuje od administracji swój unikatowy login oraz hasło do systemu. Są to losowo wygenerowane ciągi po 8 znaków alfanumerycznych każdy. Umożliwiają zalogowanie do dwóch systemów. Pierwszy z nich to Moje Osiedle, udostępniający dane kontaktowe firm obsługowych, regulaminy i ogłoszenia, gdzie można także zobaczyć imię i nazwisko użytkownika.


System Moje Osiedle

Ten sam login i hasło umożliwiają także dostęp do drugiego systemu, WEB Lokator, gdzie dla odmiany możemy poznać takie dane jak:

  • adres posiadanego lokalu
  • spis posiadanych pomieszczeń
  • saldo rozliczeń finansowych wraz ze szczegółami naliczeń
  • wezwania do spłaty należności


System WEB Lokator

W menu systemu znajduje się także opcja „Zmian hasła”. Nasz czytelnik postanowił skorzystać z tej opcji, ponieważ nie czuł się komfortowo ze świadomością, że ktoś może poznać jego hasło przekazane mu przez administrację. Wolał ustawić swoje. Wszedł zatem do menu zmiany hasła i przez chwilę trzymał się mocno krzesła, by nie stracić równowagi.


Wymagania wobec hasła

Tak, to nie jest wynik pracy w Photoshopie. Kryteria hasła to: minimalna długość 1, maksymalna długość 8 oraz brak jakichkolwiek wymagań złożoności (wszystkie zostały jednak pieczołowicie wyliczone). Najlepsza niespodzianka czekała jednak na koniec. Kiedy nasz czytelnik skonstruował już hasło spełniające wszystkie wymagania (np. „a”), zobaczył ten komunikat.


Komunikat systemu

Na szczęście nie poddawał się tak łatwo i napisał do administracji, że chciałby jednak zmienić hasło w systemie. Po wymienieniu kilku wiadomości otrzymał w końcu wiążącą odpowiedź, którą wklejamy w całości, bo jest tego warta.


Odpowiedź JW Construction

Tak, proszę Państwa, hasła nie można zmienić. Pomijając już fakt, że „zmiana hasła spowoduje znacznie wydłużenie się wszelkich procesów” (?!?), to spowoduje także „dodatkowe niebezpieczeństwo ingerencji w bazę Web Lokator przez osoby niepożądane„. Zablokowanie zmiany hasła stwarza lepszą ochronę danych klientów!


Jedyny pasujący mem

Przyznajemy, że trudno znaleźć nam wytłumaczenie powyższego emaila. Być może twórca systemu obawiał się, że nasz czytelnik wykorzysta pole „nowe hasło” do przeprowadzenia ataku typu SQLi lub CSRF? Może Wy macie jakiś inny pomysł?

Powrót

Komentarze

  • 2012.08.09 08:53 intervojager

    Odebrać wysokie uprawnienia użytkownikom serwisów. Z drugiej strony polityka administratora jest w tym przypadku prawidłowa, o ile nie ma dostępu do serwisów z internetu zewnętrznego.

    Odpowiedz
    • 2012.08.09 09:02 Adam

      Użytkownicy serwisu maja uprawnienia do przeglądania swoich rachunków – więc chyba nie za bardzo jest co odbierać. Serwisy dostępne są z całej adresacji publicznej.

      Odpowiedz
    • 2012.08.09 12:36 Solo

      „polityka administratora jest w tym przypadku prawidłowa”

      A kolega intervojager może z firmy SOFTHARD?

      Odpowiedz
      • 2012.08.09 13:22 my5z

        A kolega Solo nie umie doczytać prostego zdania do końca?

        Odpowiedz
  • 2012.08.09 11:08 JanNowak

    Jak dla mnie to oni szpiegują tych ludzi a hasła moze i są wygenerowane automatycznie ale dostepne dla administracji. Zmiana hasla to brak dostepu do konta przez bigbrothera. Wspaniala inwigilacja.

    Odpowiedz
    • 2012.08.09 13:32 Szymon

      Przecież wszystkie dane są na ich serwerze. Fakt zmiany hasła przez użytkownika nie sprawi, że staną się zaszyfrowane.

      Odpowiedz
  • 2012.08.09 12:22 JDG

    Proponuję sprawdzić, czy wypisanie się z obydwu wspomnianych serwisów wspomoże szybsze przeprowadzanie wszelkich procesów ;)

    Odpowiedz
  • 2012.08.09 12:33 blad201

    Administrator serwisu ma jednak możliwość ustalania wymagań dla hasła (por. http://www.softhard.com.pl/offer/index/upload/id/14/product/46 ), chociaż opcją „zakaz zmiany hasła” Softhard się nie chwali

    Odpowiedz
  • 2012.08.09 13:29 argothiel

    To mi wygląda na coś w stylu: „możliwość zmiany hasła wymaga zdalnego dostępu roota do bazy danych” czy coś w tym stylu. ;)

    A wymagania co do samego hasła są prawidłowe – jeśli hasło ma mieć 20 małych liter, 10 dużych i 15 znaków specjalnych, to nie znaczy, że będzie bezpieczniejsze. Jedyne, co by mi przeszkadzało, to że hasło nie może być dłuższe niż 8 znaków.

    Odpowiedz
  • 2012.08.09 13:58 marekjoz

    Może dane w bazie danych są zaszyfrowane też przy użyciu tego hasła? :) To jedyna odpowiedź, jaka mi się nasuwa, gdy czytam „wydłużenie procesów”…

    Odpowiedz

Zostaw odpowiedź do my5z

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

„Nie może Pan zmienić swojego hasła, bo to niebezpieczne”, czyli kuriozum roku

Komentarze