Zajímá vás, jak firmy jako Facebook, Dropbox, Fakturoid, WEDOS.cz a další ukládají vaše hesla? Já to vím a z důvodu bezpečnosti vám to i prozradím, tyto firmy se to totiž nebály zveřejnit.

Začal jsem takové informace sbírat a teď bych vás na prohlídku mojí sbírky motýlů rád pozval. Vstup je zdarma, otevřeno máme celý den. Sbírku v současné chvíli asi 30 firem najdete na https://pulse.michalspacek­.cz/passwords/storages:

Když vám to někdo z “důvodu bezpečnosti” nechce prozradit, tak spíš očekávejte, že vaše hesla nejsou v bezpečí.

Hodnocení

U každého webu najdete v detailech odkaz na informaci o ukládání hesel, kterou zveřejnila samotná firma, její zaměstnanec, nebo někdo nezávislý. Způsob ukládání i zveřejnění je ohodnocen známkou A až F, kde F je nejhorší možný způsob ukládání hesel, tedy v čitelné podobě.

Známky A i B naznačují bezpečný způsob ukládání hesel, ale liší se jen tím, kde firma informaci zveřejnila. Když se firma k bezpečnému způsobu ukládání hesel přiznává na “viditelném” místě (v dokumentaci, přímo na webu apod.), tak dostane nejlepší známku A. Když je přiznání trochu skryté (v nějaké přednášce, na blogu nebo na Twitteru), je ohodnoceno pouze známkou B.

Hodnocení C, D a E znamená, že firma nedodržuje doporučení pro bezpečné ukládání hesel, ale aspoň se více (C ) či méně (E) úspěšně snaží něco dělat. Pro detailnější popis se podívejte na stránku s vysvětlením jednotlivých známek, odpovědi na další otázky najdete na stránce Questions?

Proč?

Tímto projektem se snažím zprůhlednit ukládání uživatelských hesel, pozitivně motivovat firmy ke zveřejňování informací a tím nepřímo zvýšit zabezpečení takových úložišť. Spousta firem uživatelská hesla ukládá nevhodně a tím kriticky ohrožuje své uživatele, kteří velmi často používají jedno heslo na více místech.

Z důvodu bezpečnosti…

Firmy by se neměly obávat zveřejnit, jak hesla ukládají, zvlášť když to dělají dobře. Pokud to dobře nedělají, pak by ukládání hesel měly předělat a pak to mohou zveřejnit. Jenže když na otázku “jak ukládáte hesla?” dostanete neurčitou odpověď (podobnou té v titulku), nebo když vám to někdo z “důvodu bezpečnosti” nechce prozradit, tak spíš očekávejte, že to nedělají dobře a že vaše hesla nejsou v bezpečí.

Ukládáme hesla, měli bychom zveřejnit jak?

Dobrá otázka :-) Ano, měli byste, dáváte tak najevo, že se snažíte data uživatelů chránit a tím zvyšujete svoji důvěryhodnost. Podle hodnotící stupnice si můžete jednoduše ověřit, jakou známku byste dostali, a pokud se vám nelíbí, tak s tím něco udělejte. V každém případě mi dejte vědět, ať vás mohu do své sbírky zařadit. Tento projekt jsem prezentoval v srpnu na konferenci BSides/Passwords v Las Vegas (a znovu koncem září na WebExpu v Praze) a od té doby se mi ozvalo několik společností s tím, abych je na seznam zařadil, například:

prodejce HTTPS certifikátů CertSimple

server pro profesionály v informační bezpečnosti Peerlyst

český MALL.CZ

již zmíněný Fakturoid

Shipito

… kdo bude tím dalším?

Slajdy a video z přednášky najdete u mě na webu (kratší a méně technické video z konference WebExpo je tady).

Pokud byste potřebovali pomoci s hashováním hesel nebo čímkoliv jiným, kontaktujte mě, rád pomohu.