Cat de normal este ca parola mea sa fie accesibila unde imi creez un cont?
Last Updated: Jan 03 2018 14:58, Started by
AlexStefan10
, Jan 03 2018 10:30
·
0
#1
Posted 03 January 2018 - 10:30
Am observat ca un site (din Romania, foarte mare) detine parola contului meu in clar, disponibila nu numai owner-ului, nu administratorului site-ului ci unui simplu consultant. Asta inseamna ca toti angajatii companiei care detine acel site au acces sa vizualizeze parola mea? Cat de normal vi se pare acest lucru si cat de legal este?
Considerand ca as avea aceeasi parola la e-mailul cu care mi-am configurat contul acolo, sau la FB, sau la mailul de serviciu care nu ar fi asa greu de aflat, este normal si legal ca toate acele persoane sa imi poata accesa toate aceste resurse? Inca nu am avut posibilitatea sa citesc termenii si conditiile (normal ca nu le-am citit inainte sa-mi creez contul ) insa voi face si acest lucru, Voi ce parere aveti? Edited by AlexStefan10, 03 January 2018 - 10:37. |
#2
Posted 03 January 2018 - 10:39
Normal ar fi sa iti tii separat parolele conturilor oficiale (de serviciu) si cele personale.
Cum ai observat ca este disponibila in clar parola si ca este disponibila unui simplu consultant? Tu esti consultantul respectiv? Daca da, in urma caror documente ai avut acces la acele informatii? |
#4
Posted 03 January 2018 - 10:41
Unul dintre motivele pentru care se recomanda sa ai parole diferite pentru site-uri diferite este acela ca parolele, daca sunt stocate in clar (nu e normal, dar unii mai practica treaba asta), sunt disponibile oricui are acces la baza de date respectiva.
Normal este ca parola sa nu fie disponibila nici macar sysadminului. |
#5
Posted 03 January 2018 - 10:46
In urma unui schimb de mailuri acea persoana mi-a trimis ceva care sa-mi confirme asta. Nu sunt eu acel consultant.
Stiu ca asa este normal, sa ai parole diferite, crede-ma ca asa le am (nu pe toate, dar pe majoritatea). Dar nu consider normal, singurul caz in care ar putea fi util (dar nu necesar obligatoriu) acest lucru ar fi la problemele de logare pe site (insa nu trebuie sa stii parola persoanei respective pentru a stii ca o introduce gresit..) danvlas, on 03 ianuarie 2018 - 10:41, said:
Unul dintre motivele pentru care se recomanda sa ai parole diferite pentru site-uri diferite este acela ca parolele, daca sunt stocate in clar (nu e normal, dar unii mai practica treaba asta), sunt disponibile oricui are acces la baza de date respectiva. Normal este ca parola sa nu fie disponibila nici macar sysadminului. Exact asta spun, ca nu ar trebui nici macar sysadminului sa ii fie disponibila. El oricum stie cand introduci parola gresit. Edited by AlexStefan10, 03 January 2018 - 10:44. |
#8
Posted 03 January 2018 - 10:50
zyppster, on 03 ianuarie 2018 - 10:46, said: Nu ma intelege gresit, stiu sa aleg o parola, am password manager si sunt la curent cu best practice-urile de baza pentru securitate. Eu sunt curios ce parere aveti voi despre asta si cat de legal este. Pentru ca la nicio companie la care am lucrat ca suport nu puteam sa vad parola, nu mi se pare normal si moral. dorin_2k, on 03 ianuarie 2018 - 10:47, said:
Care "acea persoana"? Consultantul. |
#9
Posted 03 January 2018 - 11:00
Ti-a trimis el userul si pass in clar?
Schimba site-ul. |
#10
Posted 03 January 2018 - 11:10
Moralitatea nu are treaba cu legea.
In afara de best practices, nu e reglementata nicaieri forma de salvare informatii in baza de date sau obligativitatea criptarii. L.E: poate vine si Adm cu un punct de vedere, sigur s-a lovit de problema asta la un moment dat, macar dpdv al obligatiilor legale. Edited by AlexEn, 03 January 2018 - 11:11. |
|
#11
Posted 03 January 2018 - 11:11
#12
Posted 03 January 2018 - 11:12
1. Nu e normal ca parola sa fie stocata cleartext, dar prea putina lume isi bate capul.
2. Nu exista legislatie care sa te oblige ca sa tii parola criptata. 3. Parolele usoare pot fi usor decriptate, nu iti fa iluzii. 4. Foloseste un password manager cu generator de parole. 5. Niciodata nu folosi aceeasi parola la mai multe servicii. Problema este ca la unele servicii este necesar ca pe telefon sa poti transmite parola, mai ales cand ai de aface cu oameni in varsta, cu care e un cosmar sa discuti tehnic, ex de servicii: Roboform 1Password Lastpass |
#13
Posted 03 January 2018 - 11:26
la fel ai putea pune problema si cu acele plicuri postale unde oricine poate citi date personale. eu nu folosesc aceeasi parola si acelasi cont de mail pe mai multe site-uri. parolele le schimb periodic si nu mi se pare o problema sa mi se cunoasca parola acolo unde nu am date personale.
|
#14
Posted 03 January 2018 - 11:26
Adm, on 03 ianuarie 2018 - 11:12, said:
1. Nu e normal ca parola sa fie stocata cleartext, dar prea putina lume isi bate capul. 2. Nu exista legislatie care sa te oblige ca sa tii parola criptata. 3. Parolele usoare pot fi usor decriptate, nu iti fa iluzii. 4. Foloseste un password manager cu generator de parole. 5. Niciodata nu folosi aceeasi parola la mai multe servicii. Problema este ca la unele servicii este necesar ca pe telefon sa poti transmite parola, mai ales cand ai de aface cu oameni in varsta, cu care e un cosmar sa discuti tehnic, ex de servicii: Roboform 1Password Lastpass Sunt usor de decriptat parolele usoare insa un consultant SEO sau mai stiu eu ce nu o sa se apuce sa iti decripteze tie parola, unu pentru ca nu stie, doi pentru ca nu are nevoie de asa ceva. Dar nu mi se pare normal sa o vada atat el cat si alti inspe angajati. Asa cum nu mi s-ar parea normal ca un moderator de aici sa poata sa imi vada mie parola. Insa daca nu exista legislatie in acest sens... e clar. |
#15
Posted 03 January 2018 - 12:00
Pe aici parola e criptata one-way in DB (cred ca MD5).
Nu iti poate vedea nimeni parola clear-text, dar o poate schimba => se cripteaza MD5 in DB. |
|
#16
Posted 03 January 2018 - 12:20
#17
Posted 03 January 2018 - 12:22
Daca imi schimbi parola fara ca eu sa-ti cer asta, ma prind ca cineva/ceva are vreo trebusoara cu datele mele si mi se aprinde un beculet mic si rosu.
Dar daca imi stii parola, te poti plimba in voie printre datele/fisierele mele, fara ca eu sa ma prind |
#18
Posted 03 January 2018 - 14:09
AlexStefan10, on 03 ianuarie 2018 - 10:30, said:
Am observat ca un site (din Romania, foarte mare) detine parola contului meu in clar, disponibila nu numai owner-ului, nu administratorului site-ului ci unui simplu consultant. Asta inseamna ca toti angajatii companiei care detine acel site au acces sa vizualizeze parola mea? Cat de normal vi se pare acest lucru si cat de legal este? Considerand ca as avea aceeasi parola la e-mailul cu care mi-am configurat contul acolo, sau la FB, sau la mailul de serviciu care nu ar fi asa greu de aflat, este normal si legal ca toate acele persoane sa imi poata accesa toate aceste resurse? Inca nu am avut posibilitatea sa citesc termenii si conditiile (normal ca nu le-am citit inainte sa-mi creez contul ) insa voi face si acest lucru, Voi ce parere aveti? Adm, on 03 ianuarie 2018 - 12:00, said:
Pe aici parola e criptata one-way in DB (cred ca MD5). Nu iti poate vedea nimeni parola clear-text, dar o poate schimba => se cripteaza MD5 in DB. [ https://www.youtube-nocookie.com/embed/8ZtInClXe1Q?feature=oembed - Pentru incarcare in pagina (embed) Click aici ] Edited by ccdsah, 03 January 2018 - 14:10. |
Anunturi
Bun venit pe Forumul Softpedia!
▶ 0 user(s) are reading this topic
0 members, 0 guests, 0 anonymous users