У це важко повірити, але близько 30% сайтів тримають паролі своїх користувачів у незахищеному вигляді. Якщо хтось проникне до них в систему, то всі паролі будуть перед ними відкритим текстом.
Просунутим користувачам має бути прикро, якщо вони генерують і запам'ятовують 15-символьні паролі, які так зберігаються.
Як відомо, багато людей схильні використовувати однакові паролі для різних сервісів. Якщо в одному місці стався витік даних, то цей пароль може підійти і до його поштової скриньки, і до сервісу онлайн-банкінгу.
Автори «чорного списку» Plain Text Offenders впевнені, що боротися з такою безтурботністю веб-розробників можна тільки за допомогою громадського осуду. На цьому ресурсі щодня публікуються сайти, які, можливо, зберігають паролі у відкритому вигляді.
Якщо ви самі виявили такий непривабливий сайт - надсилайте скріншот з доказом (наприклад, лист від них з паролем у відкритому вигляді), і його додадуть до списку.
Взагалі-то, якщо сервіс надсилає вам лист з вашим паролем, це не обов'язково означає, що вони зберігають їх у відкритому вигляді. Але, по-перше, пересилання такої секретної інформації у відкритому вигляді через відкриті мережі саме по собі гідне осуду.
По-друге, якщо сервіс надсилає паролі поштою відкритим текстом, значить десь на серверах вони теж хоча б тимчасово зберігаються відкритим текстом. Можливо також, що є бекапи або поштовий архів, де ці дані зберігаються постійно. Тобто навіть якщо вони і хешують паролі, але зберігання такого поштового архіву нівелює всі захисні заходи.
Ще один «чорний список» сайтів, що зберігають паролі у відкритому вигляді, ведеться тут. Там же можна знайти розширення PasswordFail для Chrome, яке буде повідомляти, якщо ви зайшли на якийсь сайт зі списку.
Для надійного захисту паролів рекомендується використовувати лише bcrypt. Справа в тому, що на сучасних числодробарках CUDA можна зібрати відносно недорогий кластер, який не тільки буде заробляти bitcoin на 10-20 доларів на добу, але і перебирати до 700 млн хешів на секунду, так що звичайний хеш на кшталт MD5 або SHA1 теж не можна вважати надійним захистом.
