Крупнейший в России доменный регистратор Ru-Center продолжает хранить пароли в открытом виде спустя семь лет после того, как на это обратили внимание его клиенты. Подобный подход грозит масштабными утечками и потерей контроля над миллионами доменных имен, которые обслуживает компания.

Впервые о проблеме заговорили пользователи «Хабрахабра» в 2010 году. Администратор одного из сайтов обратил внимание, что сброшенный пароль пришел на почту в открытом виде. Официального комментария от представителей регистратора не последовало. Тема вернулась в повестку 23 октября, когда о ней написал сетевой журнал TJournal. Оказалось, что за семь лет ситуация не изменилась и пароли владельцев доменных имен по-прежнему хранятся в базах данных Ru-Center.

Большинство мировых веб-сервисов сохраняет на своих серверах не сами пароли, а их хеш-сумму. При регистрации пользователя выбранная им последовательность символов преобразуется в новую с помощью специальных функций свертки. В дальнейшем при авторизации пользователя сервис сверяет хеш введенного пароля именно с этой суммой. При взломе баз данных злоумышленникам придется перебрать все возможные комбинации, чтобы установить реальные пароли, сравнив каждую с имеющимся хешем. Задача усложнится, если сервер «посолит» хеш — добавит к пользовательскому паролю случайную последовательность букв и цифр, после чего захеширует все вместе. Это и затруднит подбор, и поможет избежать совпадения хешей, когда пользователи выбирают одинаковые пароли — как показывает практика, в этих вопросах фантазия работает плохо.

Хеширование паролей часто путают с шифрованием, однако это более надежный способ обеспечить их сохранность. Во втором случае веб-сервис должен хранить ключ шифрования, и если он попадет в чужие руки, скомпрометированной окажется вся база. Главная опасность утечек баз с хешами в том, что они помогают компьютерным системам понять, как пользователи придумывают себе пароли. В перспективе это упрощает механизм подбора. Именно поэтому эксперты по безопасности советуют проверять свой пароль на уникальность, причем обязательно с помощью оффлайновых баз. Нигде не использованный ключ априори будет более устойчивым к взлому, чем тот, который уже выбрал себе кто-то из пользователей.

Волна утечек баз с открытыми паролями прокатилась по Рунету в 2012–2013 годах. Она коснулась сервисов «Рамблера» и «ВКонтакте», каждый из которых спустя годы подтвердил хищение более чем 100 миллионов паролей и объявил о внедрении хеширования. Во вторник 23 октября заместитель директора по продуктам Ru-Center Андрей Кузьмичев признал, что регистратор использует «в самых глубоких местах архитектуры… технологические решения, которым по 10–15 лет». Он добавил, что доступ к внутренним информационным системам имеет ограниченный набор сотрудников, и анонсировал обновление логики авторизации и восстановления доступа.

Категории: Главное, Уязвимости