RU-Center хранит пароли пользователей в открытом виде

Регистратор доменов RU-Center хранит пароли клиентов в незашифрованном виде. Об этом рассказал читатель портала TJournal.

Как это выяснилось?

При попытке восстановить пароль к своему аккаунту пользователь получил не привычную временную ссылку, по которой можно сменить пароль, а письмо со старым паролем.

В чем проблема?

Это небезопасно. Чаще всего сайты не хранят копии паролей пользователей. Они переводят пароли в хеш-строку и сохраняют ее. 

При повторной авторизации введенный пароль шифруется и сравнивается два отпечатка. Совпадение хеша означает, что пользователь ввел корректные данные.

Если пароли хранятся в открытом виде, то злоумышленники могут просто украсть базу данных и получить доступ к паролям.

И что делать?

В техподдержке Ru-Center рассказали о планах перейти на новую систему по восстановлению пароля в «закрытом» виде. Но сроки не обозначили. Также пользователям рекомендуется установить запрет на отправку пароля по email в личном кабинете.

Коллеги из vc.ru приводят цитату заместителя директора по продуктам Ru-Center Андрея Кузьмичева, где он говорит о тестировании новой системы авторизации на сайте.

Андрей Кузьмичев, заместитель директора по продуктам Ru-Center

Ru-Center как старейший регистратор доменов в России, к сожалению, до настоящего момента в самых глубоких местах архитектуры имеет технологические решения, которым по 10-15 лет. Сейчас доступ к внутренним информационным системам имеет ограниченный набор сотрудников, он контролируется службой безопасности. В ближайшее время мы полностью обновим логику авторизации и восстановления доступа — новая система сейчас тестируется. Также наши клиенты в любой момент могут настроить уведомления по SMS о любых операциях с услугами и аккаунтом, ограничить доступ к операциям с аккаунтом по IP-адресу, установить запрет на получение пароля по email и запретить любые операции с доменом без личного присутствия в офисе регистратора.

Источник: tjournal.ru