Webnames хранит пароли в открытом виде

Тема в разделе "Регистраторы", создана пользователем Crucifer, 27 фев 2012.

Модераторы: Цукер
  1. Crucifer

    Crucifer

    Регистр.:
    6 фев 2007
    Сообщения:
    517
    Симпатии:
    249
    Понадобилось мне перенести домен .org от этого регистратора. На сайте как оказалось даже не оказалось информации о переносе от них, на зато есть масса текста о переносе к ним на обслуживание. Как говорится - вход рубль, выход два.

    Написал в техподдержку и она запросила у меня информацию для выдачи авторизационного кода:

    1. сам домен который я хочу перенести
    2. последние 4 символа пароля от аккаунта!!!
    Получается даже MD5 ничего не кодируется, а лежит в открытом виде в базе клиентов. Просто эпично. Выводы сделайте сами.

    P.S. А я сначала еще и надеялся что у него делается как у нормальных регистраторов - нажал кнопочку и код авторизационный на мыло падает :)
     
  2. dandandan

    dandandan

    Регистр.:
    7 авг 2008
    Сообщения:
    996
    Симпатии:
    268
    Не факт, что пароли хранятся в открытом виде. Отдельное поле - последние 4 цифры...
    Это может быть дополнительной защитой от увода аккаунта/доменов.
     
  3. Crucifer

    Crucifer

    Регистр.:
    6 фев 2007
    Сообщения:
    517
    Симпатии:
    249
    Это очень маловероятно. Зачем даже 4 последние в открытом виде, когда 90% пользователей больше 6 символов не делает пароль?
    Как будет работать такая защита? Если у меня есть пароль от акка и я вот запросил авторизационный код, или у другого регистратора тыкнул кнопку и получил его. И так и так я получил доступ к домену. Бредовая какая-то защита.
     
  4. NulleTop

    NulleTop localhost

    Регистр.:
    3 окт 2009
    Сообщения:
    258
    Симпатии:
    37
    Почему бредовая? Вы слышали когда нибудь по "salt" в паролях?
    Это тоже своеобразная соль пароля... И такой пароль, имхо, увести сложнее. Вы же не в курсе как он обрабатывается?
    Вполне возможно что при отправке формы авторизации, идет хеширование 4-х открытых цифр, которые в базе, потом к этому хэшу прикладывается (именно добавляется!) хэш "закрытого" пароля (допустим те же 2 символа) и сравнивается с введенным паролем.
    На самом деле, такой пароль еще сложнее забрутить.
     
  5. dandandan

    dandandan

    Регистр.:
    7 авг 2008
    Сообщения:
    996
    Симпатии:
    268
    У меня на хостинге тоже спрашивают последние 4 цифры от моей кредитной карточки, если обращаюсь к ним за какими-то глобальными изменениями. Это же не значит, что они ее хранят у себя.