Szerző: Dojcsák Dániel

2011. december 07. 14:45:00

A Google megjegyzi a régen használt jelszavakat is

Ha valaki bármilyen okból megváltoztatja a jelszavát egy rendszerben, akkor feltételezi, hogy az adatbázisban a jelszó mező egyszerűen felülírásra kerül. A Google azonban ezt sem kezeli ilyen egyszerűen - a régi karaktersor is benne marad a rendszerben, bár belépni már nem lehet vele.

A jelszóváltoztatást követően, ha valaki a régi kóddal szeretne belépni, akkor a Google egy furcsa üzenetet dob fel: “A jelszavad megváltozott “X” napja. Nem te változtattad meg?”, majd belinkel egy bejegyzést a Google támogató központjára. Az ottani szövegben pedig már részletes segítséget kaphat a felhasználó, hogyan szerezheti vissza a kontrollt fiókja felett, ha nem csak rutinból írta be a régi jelszót, hanem tényleg ellopták tőle.

Te voltál?

“Úgy tűnik, hogy egy régi jelszóval próbáltál meg belépni. Amennyiben emlékszel arra, hogy megváltoztattad a jelszavadat, csak lépj vissza és írd be a jelenlegit. Ha emlékszel arra, hogy megváltoztattad a jelszót, de elfelejtetted az újat, akkor a 'jelszó segítség' oldalunkon szerezheted vissza a fiókodat. Ha pedig nincs tudomásod arról, hogy jelszót váltottál volna, akkor valószínűleg valaki más fért hozzá a fiókhoz. Bizonyos esetekben a korábbi e-mailes és telefonos visszaállítás elérhető és resetelni lehet a jelszót. Amennyiben ezek közül egyik sem segít, akkor még mindig kitöltheted a fiók visszaállítási formanyomtatványt, amiben igazolnod kell személyazonosságodat és visszakaphatod a fiókodat”.

Python és Appmenedzsment rendezvényekkel indítjuk a szezont (x) Február 26-27-én indul a HWSW free! ingyenes meetupsorozat, márciusban pedig 30 órás online képzéseket indítunk!

Az elveszett jelszó valóban egy gyakori gond, a Google pedig már tucatnyi apró eszközt vezetett be azért, hogy lehetőség szerint ne kerülhessenek illetéktelen kezekbe a fiókok. Ilyen például a kétszintű bejelentkezés, ahol az adott eszközt egy időre egy PIN-nel azonosíthatjuk, az időnként lejáró cookie, illetve a profilban megadható második, harmadik e-mail cím és telefonszám.

Az új képesség ugyan valóban hasznosnak tűnik, de a privát szférát féltők, az adatok biztonságáért aggódók számára bizonyára vörös posztó lesz, ha a Google visszamenőleg is tárolja a jelszavakat, pontosabban azok hash-elt, salt-tal ellátott változatát. Igaz ez egyáltalán nem újdonság, csak a webes szférában kissé szokatlan - a magyarországi pénzintézetek internetbanki felületeinél sem ismeretlen megoldás, hogy a kötelező periodikus jelszóváltáskor nem állíthatunk be olyan karaktersort, amit már korábban használtunk. Ehhez nyilván ugyanúgy meg kell tartani az előző verziókból készült leképezéseket.

a címlapról