Однажды я вспомнил, что у меня на Яндексе есть почта для всякого рода нежилательных писем😉. Давно я туда не заходил, в следствии чего пароль естественно забыл, ну думаю «Сейчас восстановлю, делов-то!».
Вбив свой емейл и капчу, Яндекс предложил мне ввести номер сотового для восстановления доступа к ящику. Обычная процедура вроде бы, я уже собрался вбивать номер, как увидел ссылочку «Не получается восстановить?», хм интересно что там за ней?

gnome-shell-screenshot-jug33y

Перейдя по ссылке, я увидел опять же стандартную форму, но в глаза сразу бросилось поле «Последний пароль»… WTF?! промелькнуло в голове в ту же секунду! И с каждой последующей секундой вопросов становилось всё больше!
— Как мой предполагаемый «последний» пароль в plain-text может помочь восстановить мой пароль?
— У Яндекса пароли пользователей в БД хранятся в открытом виде? (понимаю что бред, но проскользнуло)
— А может у Яндекса есть отдельная БД куда пароли дублируются plain-text’ом?
— А зачем им пароли в plain-text? Чтобы передавать их кому-то?
— Кому? 😎

screenshot-20170729171556-1520x848

Я всегда думал, что хэши паролей подобных сервисов выглядят в виде подобных алгоритмов хэширования (с солью, с перцем, и другими приправами):

md5($pass.$salt), md5($salt.$pass), md5(md5($pass).$salt), md5(md5($salt).$pass), md5($salt.$pass.$salt), md5($salt.md5($pass)), md5(md5($pass).md5($salt)), md5(md5($salt).md5($pass)), sha1($salt.$pass), sha1($pass.$salt), sha256($pass.$salt), sha256($salt.$pass), sha512($pass.$salt), sha512($salt.$pass)

Понятное дело, что Яндекс в открытом виде пароли пользователей не хранит, что у них SSO с блэк-джеком и куртизанками.

Но зачем Вам мой пароль в открытом виде???!!! — Этот вопрос не даёт мне покоя если честно…

З.Ы. Пробежавшись по политике конфиденциальности https://yandex.ru/legal/confidential/ (и по всем её ревизиям), я не нашёл ни слова о хранении паролей пользователей, их обработке и т.д. Понятно, что алгоритм хэширования это «Секрет Фирмы», но освятить часть вопросов думаю всё же стоило бы в этой самой политике.

З.З.Ы. Также одним из наблюдений стало, по сравнению с Google Auth, который тебе дико орёт уведомлениями в почту, смс-ками, при входе в аккаунт с другого девайса, то тут абсолютная тишина, которая также настораживает.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google photo

Для комментария используется ваша учётная запись Google. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.