Koliko su sigurne vaše korisničko ime i lozinka za SaferVPN?


Ažuriranje 10/15: SaferVPN kontaktirao nas je kako bi obavijestio da je uklonio Google Analytics iz poddomene domene app.safervpn.com i radi na tome da u potpunosti ukloni adrese e-pošte sa svojih URL adresa.

Ažuriranje 10/16: SaferVPN objavljuje izjavu o svojim pravilima zaporke - pročitajte više u nastavku.

Ažuriranje 10/17: Provodeći vlastitu istragu, zadovoljni smo objašnjenjem koje je dao predsjednik uprave SaferVPN Amit Bareket. Pročitajte više u nastavku.

Mi‘Ne sramim se priznati da ovdje imamo puno VPN pretplata na VPNpro.com. Trag je uvijek bio u imenu.

Pa, danas je jedan od tih računa naišao na problem. SaferVPN nam je poslao e-poruku da kažemo da je naš korisnik zaključan jer je promijenio pravila o zaporkama i dogodilo se da se naša lozinka nije‘ne udovoljavaju novim zahtjevima. Očito je razlog ove promjene politike bilo masovno kršenje Facebooka.

safervpn kupac

U početku nismo‘Ne mislim ništa od toga - samo manja smetnja, nema šta pištati. Ali iznenada nas je pogodila spoznaja:

Kako znaju našu lozinku‘ne udovoljavaju njihovim zahtjevima?

Uostalom, lozinke se obično čuvaju kao hashe - nizovi fiksnog teksta fiksne duljine. Ne možete pogledati hash i reći koji su parametri zaporke bez dešifriranja niza. Može li biti da SaferVPN pohranjuje sve korisničke lozinke u otvoreni tekst? Ako je tako, mi‘niste ljubitelji ove prakse i toga‘blago rečeno.

UPDATE 10/16: SaferVPN objavljuje izjavu o svojim pravilima zaporki

Jučer je SaferVPN objavio blog u kojem je objasnio promjenu njihove politike zaporki i njezine posljedice. Ponavlja ono što je rečeno u e-poruci:

Neki korisnički računi imaju zaporke koje već zadovoljavaju naše nove sigurnosne standarde. Ostali korisnički računi jesu privremeno zaključana dok korisnici ne odaberu novu, jaču zaporku.

Ova izjava potvrđuje naše razumijevanje situacije i ostavlja isto pitanje - kako su mogli utvrditi koji računi imaju odgovarajuće lozinke, a koji ne?

UPDATE 10/17: Generalni direktor SaferVPN nudi odgovor na naša pitanja o zaporki

Posljednjih nekoliko dana bili smo u kontaktu s izvršnim direktorom SaferVPN-a Amitom Bareketom, koji nam je ponudio sljedeće objašnjenje:

Korisničku lozinku potvrđujemo nakon prijave, pa ako ne odgovara zahtjevima za lozinku, tražimo da odaberemo jaču lozinku (koristeći korisnički unos, kojeg NE ČUVAMO u bilo kojem trenutku).

U početku smo bili sumnjičavi prema ovom objašnjenju, jer prema našem saznanju dotični račun neko vrijeme nije bio iskorišten, pa se čini da je e-pošta izašla iz vedra neba. Uz to, jezik u e-poruci i izjavi sugerirao je da je SaferVPN pregledavao lozinke i blokirao račune čija snaga lozinke nije’ne udovoljavaju zahtjevima.

Međutim, istražujući još neke pomoću nekoliko drugih SaferVPN računa, uspjeli smo potvrditi da je objašnjenje koje je dao SaferVPN točno. Ukratko, pružatelj VPN usluga uči snagu zaporke vašeg računa tijekom pokušaja prijave (ili 5 neuspjelih pokušaja prijave). To pokreće e-poštu koju smo primili.

Moramo zahvaliti SaferVPN na suradnji i strpljenju u rješavanju ovog pitanja!

Vaše korisničko ime SaferVPN na Google Analytics?

Kao što možete vidjeti na snimci zaslona, ​​URL za resetiranje zaporke uključuje naše korisničko ime SaferVPN (što se ujedno može dogoditi i kao vaša e-pošta).

Korisničko ime SaferVPN na Google Analytics

Ako slijedite vezu do stranice, primijetit ćete - kao i mi - da na njoj ima Google Analytics tracker. Drugim riječima, vaše korisničko ime SaferVPN ide izravno u Google Analytics.

Tehnički to znači da svatko s pristupom računu SaferVPN GA može izvesti popis adresa e-pošte koja se koristi za prijavu na VPN uslugu, što otvara ozbiljnu limenku crva u procesu. Tko ima pristup SaferVPN-u‘s GA račun? Imaju li treće strane agencije za mrežni marketing pristup tome? Čak i ako ne‘t, to sigurno radi i njihov direktor marketinga. Da‘s već više od VPN korisnika koji bi trebali biti ugodni.

Još jedna stvar koju treba napomenuti:
Prema Uvjetima pružanja usluge Google Analytics, korisnici ne smiju prosljeđivati ​​Googleu osobne podatke. Čini se da SaferVPN krši ovo pravilo.

7. Privatnost.
Nećete i nećete pomagati niti dopustiti trećoj strani da prosljeđuje Googleu podatke koje Google može upotrijebiti ili prepoznati kao osobne podatke.

Ažuriranje 10/15: SaferVPN potvrđuje probleme sa svojim URL-ovima

Dobili smo potvrdu od SaferVPN da su uklonili Google Analytics sa svog poddomena app.safervpn.com. Pored toga, oni rade na uklanjanju korisničkih imena / adresa e-pošte sa svih svojih URL-ova. Više snage za njih!

Zaključak: koliko loše govorimo?

Nakon povratka i naprijed sa SaferVPN-om koji je trajao nekoliko dana, došli smo do sljedećih zaključaka:

  1. Pitanje lozinke je komunikacijsko pitanje, a ne sigurnosno pitanje. Jačina lozinke određuje se u vrijeme unosa, a ne gledanjem baze podataka u otvorenom tekstu.
  2. SaferVPN su potvrdili da je uključivanje korisničkog imena (adrese e-pošte) u URL-ove loša praksa. Popravljaju to dok govorimo.

Zahvaljujemo SaferVPN-u što su izdvojili vrijeme kako bi raščistili stvari i poboljšali svoje usluge!

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me

Add a Comment

Your email address will not be published. Required fields are marked *

72 − = 65