เว็บ se-ed.com เก็บรหัสผ่านสมาชิกของร้านเป็น plaintext!

เมื่อวานนั่งหาหนังสือ กะว่าจะสั่งหนังสือสัก 2-3 เล่ม แต่ลืมรหัสผ่าน se-ed.com เลยเข้า https://www.se-ed.com/forgot-password.aspx เพื่อขอขั้นตอนการปลดล็อคผ่านทางอีเมลเพื่อเข้าระบบ

2014-09-08_110337

 

แต่สิ่งที่ได้กลับมาทำให้ตกใจไม่น้อยเพราะ….

2014-09-08_110831

 

ก็ไม่รู้จะว่ายังไงดี ความอยากได้หนังสือหายไปในทันที เลิกสั่งตั้งรหัสผ่านใหม่ที่ยาวกว่าเดิม แล้วลาก่อนเว็บนี้

ส่วนเหตุผลว่าทำไมอ่านจากของเก่าได้ที่ อย่าไว้ใจเว็บแบรนด์ระดับโลกให้เก็บรหัสผ่านที่สำคัญของคุณ

7 thoughts on “เว็บ se-ed.com เก็บรหัสผ่านสมาชิกของร้านเป็น plaintext!

  1. ผมว่าระบบฐานข้อมูลเค้าเก็บ แบบเข้ารหัสอยู่แล้วครับ ส่วนที่เอามาแสดงเป็นเมล์ส่วนตัวของลูกค้า ซึ่งทางระบบจะส่งรหัสที่ลูกค้ากรอกให้ เพื่อให้เป็นหลักฐานสำหรับผู้ใช่้
    จากภาพผมคิดว่า password ได้บันทึกลงเป็น “StoringPasswordsInPlainTextIsInsecure” หรือเปล่าครับ

    • ขอบุคคลอ้างอิงหน่อยครับ ว่าเค้าเข้ารหัสจริงและถอดรหัสได้ด้วย ปรกติเค้าไม่เก็บรหัสผ่านกันแบบนี้ครับ เค้า hash ค่ารหัสผ่านเพื่อป้องกันการถอดย้อนกลับครับ

      ส่วนรหัส StoringPasswordsInPlainTextIsInsecure อันนี่ตั้งเองครับ เพื่อทดสอบสมมติฐานนี้

  2. สวัสดีค่ะ

    เรียนชี้แจง สำหรับระบบการบันทึกข้อมูลรหัสผ่านของเว็บไซต์ se-ed.com นะคะ
    อ้างอิงตาม https://www.thaicyberpoint.com/ford/blog/id/4403/

    ระบบของซีเอ็ดได้ทำการเข้ารหัสผ่าน โดยใช้ รหัส Salt ในการเข้ารหัสก่อนบันทึกลงฐานข้อมูลค่ะ
    กระบวนการทางเราไม่สามารถอธิบายได้ทั้งหมด จึงขออนุญาตแนบรูปนี้นะคะ

    http://upic.me/show/52645855

    จากภาพ เราดึงมาจากฐานข้อมูลจริง แต่ต้องลบข้อมูลบางส่วนออกเพื่อความปลอดภัยค่ะ

    โดยการทำงาน ระบบเราจะดึงรหัสผ่านที่เข้ารหัสไว้มาถอด ซึ่งโดยเทคนิคแล้วผู้พัฒนาสามารถถอดรหัสที่ตัวเองเข้ารหัสไว้ได้อยู่แล้วค่ะ หลังจากนั้นระบบจะส่ง email ให้กับลูกค้าตาม email ที่ได้ลงทะเบียนไว้ในระบบ
    และเนื่องจากเราใช้ email ของลูกค้าเป็น username ดังนั้นผู้ใช้ที่จะได้รับรหัสผ่านต้องเป็นเจ้าของ email นั้นจริงๆ เท่านั้น จึงจะมีรหัสผ่านเพื่อเข้าถึง email นั้น และสามารถเปิดอ่านได้ค่ะ

    ทางซีเอ็ดต้องขอขอบพระคุณสำหรับแนวทางในการปรับปรุงระบบนะคะ ทั้งนี้เพื่อให้ลูกค้ามั่นใจมากขึ้น แผนการปรับปรุงต่อไป ทางเราจะให้ลูกค้าเปลี่ยนรหัสผ่านทันที
    ที่กดปุ่ม forgot password โดยจะส่ง link สำหรับทำการเปลี่ยนรหัสผ่านใหม่ให้ค่ะ

    ขอบพระคุณอีกครั้งสำหรับความใส่ใจ และคำแนะนำค่ะ

    • ขอบคุณทางคุณพรพรรณที่ตอบข้อสงสัยและมีแผนการนำไปปรับปรุงในอนาคตครับ ^^

    • > ซึ่งโดยเทคนิคแล้วผู้พัฒนาสามารถถอดรหัสที่ตัวเองเข้ารหัสไว้ได้อยู่แล้วค่ะ

      นี่แหละครับที่เป็นปัญหา ผู้พัฒนาไม่ควรสามารถ decrypt รหัสผ่านของผู้ใช้ได้ครับ
      กล่าวคือ ควรเป็นการเข้ารหัสทางเดียวที่ไม่สามารถถอดรหัสกลับออกมาเป็นข้อความที่ใส่เข้าไปได้ครับ

  3. ถ้ามันถอดกลับได้จะเก็บ Salt ไว้ทำไมหล่ะหน่ะ 55++ เจาะระบบได้ก็หมดความหมาย ถอดได้หมดทุกคน

Leave a Reply