РЖД снова слили пароли пользователей
В гугл-хроме есть такая функция как проверка украденных паролей. Есть среди ваших сохраненных паролей есть пароли из базы украденных паролей в сети - браузер об этом расскажет.
Сегодня случайно заметил что пароль для сайта РЖД скомпрометирован, однако я для каждого сайта в конце пароля приписываю название сайта. Те пароль уникальный, и попасть в сеть он мог только от РЖД.
1. Самое базовое правило создания аутентификации это НИКОГДА не хранить пароли на бэкенде сайта, а только специальные “соленые” хэши он них. Это одна строка кода. Те дебики из РЖД были настолько тупые, что даже этого сделать не смогли.
2. Есть база данных утекла в сеть, то бизнес сразу должен оповестить пользователей чтобы они сменили пароли. У меня такого письма в почте нет.
3. Я нагуглил два взлома РЖД, один из внутренней сети которые не скомпрометировал данные пользователей, второй от РЖД бонус. Это другой ресурс, на котором я не зарегистрирован. Те это новая утечка о которой ранее не писали.
4. Наверное мораль истории - никогда не пере-используйте пароли дважды, особенно на государственных некомпетентных конторах. Простой способ пользоваться менеджером паролей.
5.
Лига Тупых
5.4K поста22.6K подписчиков
Правила сообщества
ЗАПОМНИТЕ!!!
В посте говорится про Лигу - ставится тег Лига тупых. Говорится про то, как кто-то затупил - ставится тег "Тупость". ЗАПОМНИТЕ!!!
1. Посты не перетаскиваем без согласия ТСа
2. Не умничать - тут пермач сразу
3. Общаемся без оскорблений, уважайте друг друга
4. Не забываем