Mellékleteink: HUP | Gamekapocs
Keres
Július 19-én SYSADMINDAY: egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket!

A Google megjegyzi a régen használt jelszavakat is

Dojcsák Dániel, 2011. december 07. 14:45
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Ha valaki bármilyen okból megváltoztatja a jelszavát egy rendszerben, akkor feltételezi, hogy az adatbázisban a jelszó mező egyszerűen felülírásra kerül. A Google azonban ezt sem kezeli ilyen egyszerűen - a régi karaktersor is benne marad a rendszerben, bár belépni már nem lehet vele.

A jelszóváltoztatást követően, ha valaki a régi kóddal szeretne belépni, akkor a Google egy furcsa üzenetet dob fel: “A jelszavad megváltozott “X” napja. Nem te változtattad meg?”, majd belinkel egy bejegyzést a Google támogató központjára. Az ottani szövegben pedig már részletes segítséget kaphat a felhasználó, hogyan szerezheti vissza a kontrollt fiókja felett, ha nem csak rutinból írta be a régi jelszót, hanem tényleg ellopták tőle.

Te voltál?

“Úgy tűnik, hogy egy régi jelszóval próbáltál meg belépni. Amennyiben emlékszel arra, hogy megváltoztattad a jelszavadat, csak lépj vissza és írd be a jelenlegit. Ha emlékszel arra, hogy megváltoztattad a jelszót, de elfelejtetted az újat, akkor a 'jelszó segítség' oldalunkon szerezheted vissza a fiókodat. Ha pedig nincs tudomásod arról, hogy jelszót váltottál volna, akkor valószínűleg valaki más fért hozzá a fiókhoz. Bizonyos esetekben a korábbi e-mailes és telefonos visszaállítás elérhető és resetelni lehet a jelszót. Amennyiben ezek közül egyik sem segít, akkor még mindig kitöltheted a fiók visszaállítási formanyomtatványt, amiben igazolnod kell személyazonosságodat és visszakaphatod a fiókodat”.

Az elveszett jelszó valóban egy gyakori gond, a Google pedig már tucatnyi apró eszközt vezetett be azért, hogy lehetőség szerint ne kerülhessenek illetéktelen kezekbe a fiókok. Ilyen például a kétszintű bejelentkezés, ahol az adott eszközt egy időre egy PIN-nel azonosíthatjuk, az időnként lejáró cookie, illetve a profilban megadható második, harmadik e-mail cím és telefonszám.

Az új képesség ugyan valóban hasznosnak tűnik, de a privát szférát féltők, az adatok biztonságáért aggódók számára bizonyára vörös posztó lesz, ha a Google visszamenőleg is tárolja a jelszavakat, pontosabban azok hash-elt, salt-tal ellátott változatát. Igaz ez egyáltalán nem újdonság, csak a webes szférában kissé szokatlan - a magyarországi pénzintézetek internetbanki felületeinél sem ismeretlen megoldás, hogy a kötelező periodikus jelszóváltáskor nem állíthatunk be olyan karaktersort, amit már korábban használtunk. Ehhez nyilván ugyanúgy meg kell tartani az előző verziókból készült leképezéseket.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
A IT-üzemeltetők világnapján egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket az Ankertbe.