Archiwum Tagów | "hasła"

Tags: , ,

Jestem dobry w łóżku, bo mój brat ma już szóstkę dzieci

Opublikowano: 12 grudnia 2011 by Konrad Karpieszuk

Jedno Allegro przyznać muszę: mają naprawdę dobrych speców od robienia mętliku w głowach swoim użytkownikom (czyli dobrych PRowców). Jakiś czas temu udało im się wmówić wszystkim, że podwyżka opłat jest ich obniżką i chwilę zajęło nim ogół połapał się w tej sztuczce. Teraz przyszedł czas na kolejne tłumaczenie nam jakie to wspaniałe Allegro jest i podawanie argumentów… z innego podwórka.

Przypomnę na czym stoimy: Kilka dni temu ktoś na Wykopie podał się za byłego pracownika Allegro i (po raz kolejny) oskarżył ten serwis, że wszystkie hasła trzyma w formie niezabezpieczonej.

Allegro rozesłało informację prasową, którą wszyscy (a przynajmniej te serwisy, które czytam) łyknęło bez zastanowienia. I nawet tej fragment nie dał nikomu do myślenia:

Poziom bezpieczeństwa w Grupie stoi na bardzo wysokim poziomie i jest nieustannie podwyższany. Miedzy innymi serwis Platnosci.pl uzyskał certyfikację: Payment Card Industry Data Security Standard (PCI DSS) – światowego standard ustalonego przez organizacje finansowe w celu ochrony danych osobowych posiadaczy kart oraz informacji związanych z ochroną danych osobowych.

Allegro, poważnie? Poziom w Grupie jest na wysokim poziomie, bo jeden z jej elementów wysoki poziom ma? Przypomnę, że Grupa Allegro to obecnie 33 serwisy.

Trzydzieści trzy – liczba mniej więcej taka sama, jak liczba uczniów w klasie, gdy chodziłem do podstawówki. Ale choć wszyscy mieliśmy tego samego wychowawcę, w życiu nie przyszło by mi do głowy powiedzieć, że Arek z samymi jedynkami w dzienniku był wybitnym uczniem, bo Mateusz wygrał olimpiadę wiedzową.

Tłumaczenie, że Allegro jest bezpieczne, bo Płatności dostały certyfikat, jest jak tłumaczenie, że jestem dobry w łóżku, bo mój brat ma mnóstwo dzieci.

Grupo: jeśli chcecie dowieść, że Allegro jest bezpieczne, dlaczego i jemu nie skołujecie takiego samego lub podobnego certyfikatu?

A może już próbowaliście, ale się nie udało?

2 komentarze

Tags: , ,

Nowe hasła w Allegro

Opublikowano: 09 października 2009 by Konrad Karpieszuk

Czy ktoś z Was dostał maila o treści jak poniżej?

Kontynuujemy akcję zwiększania bezpieczeństwa w serwisie. W związku z tym przy najbliższym korzystaniu z Allegro zmień swoje hasło do konta.

Jeśli nie zmienisz hasła, w połowie października stracisz dostęp do tych funkcji serwisu, które wymagają logowania. Odzyskasz go po zmianie hasła. Służący do tego formularz otworzy się wówczas automatycznie zamiast zwykłej strony logowania. Pamiętaj, aby uaktualnić hasło również w zewnętrznych aplikacjach i programach, używanych do obsługi konta w Allegro.

Ja nie dostałem. Mogę więc spać chyba spokojnie. Po pierwsze nikt mi nie grozi, że jak go nie posłucham skasuje mi konto, na którym pieczołowicie od lat starałem się wyrobić jako taką markę. Po drugie nikt chyba mojego hasła nie wykradł – plotka bowiem mówi, że powodem rozsyłania listu jest przejęcie haseł z niektórych kont.

Paweł Opydo pytał u źródeł i źródła mu powiedziały, że wszystko jest ok i Paweł im wierzy. Ja jedno w co wierzę, to to, że biuro prasowe Allegro  nie mogło przecież odpowiedzieć inaczej. Co mieli odpisać? „Damn, przyłapałeś nas. Mieliśmy nadzieję, że się nie wyda, ale skoro już pytasz, nie  możemy kłamać, bo to jest fe. Faktycznie ktoś wykradł hasła i jesteśmy w d.pie”? 😉

Nie twierdzę, że włamanie było, bo tego nie wiem. Ale pobawmy się w adwokata diabła i spróbujmy pogdybać co jeśli faktycznie włamanie było.

Po pierwsze hasła muszą zmienić niektórzy użytkownicy. Dlaczego niektórzy? Czytelniku, jeśli dostałeś takiego maila jak wyżej, możesz zdradzić jakie miałeś hasło? Nie  musisz zdradzać dokładnie; napisz  czy zawierało jakieś znaki specjalne, czy było zwykłym wyrazem? Czy było takie samo jak gdzieś jeszcze (na przykład na Wykopie, który to puścił hasła części użytkowników w świat)?

Dlaczego ja nie muszę zmieniać hasła? Nie  wiem. Moje hasło jest inne niż na Wykopie. Krótkie, ale składające się z różnych znaków. Litery, cyfry, znaki specjalne.

Po drugie, jak zgaduje Paweł, Allegro wprowadza nowy algorytm szyfrowania haseł w bazie. Silniejszy. Czyli albo zaczną solić stosowany obecnie  – zgaduje – md5, albo przejdą na inny popularny albo własny.

W żadnym z tych wypadków  nie trzeba prosić o zmianę haseł użytkowników, a już zwłaszca części użytkowników. Zwyczajnie: użytkownik się loguje, sprawdzamy czy hasło pasuje do już obecnego hasha, jeśli tak tworzymy nowy na bazie nowego algorytmu, stary kasujemy, a nowy zapisujemy. Zrobione.

No, ja po prostu nie wierzę, że to rutynowe działanie. Ale jedyne co mogę to zgadywać.

2294144289_a54db90ac5_b

3 komentarze