Ako bezpečné je vaše používateľské meno a heslo so SaferVPN?


AKTUALIZÁCIA 10/15: SaferVPN nás kontaktovalo, aby sme informovali, že odstránili službu Google Analytics z ich subdomény app.safervpn.com a pracujú na úplnom odstránení e-mailových adries z ich adries URL..

AKTUALIZÁCIA 10/16: SaferVPN vydáva vyhlásenie o svojej politike týkajúcej sa hesiel - prečítajte si viac nižšie.

AKTUALIZÁCIA 10/17: Po vykonaní vlastného vyšetrovania sme spokojní s vysvetlením generálneho riaditeľa spoločnosti SaferVPN Amita Bareketa. Prečítajte si viac nižšie.

my‘Nehanbíme sa priznať, že tu máme na VPNpro.com veľa predplatených VPN. Potuchy boli vždy v názve.

Dnes sa pri jednom z týchto účtov vyskytol problém. SaferVPN nám poslal e-mail s oznámením, že náš používateľ bol uzamknutý, pretože zmenili svoje zásady týkajúce sa hesiel, a stalo sa tak, že naše heslo nebolo‘nespĺňajú nové požiadavky. Dôvodom tejto zmeny pravidiel bolo zjavne veľké porušenie pravidiel na Facebooku.

safervpn zákazník

Najprv sme to urobili‘nemysli na nič z toho - iba malú obťažnosť, nič, čo by som kňučala. Ale zrazu nás táto realizácia zasiahla:

Ako vedia, že naše heslo nevie‘nespĺňajú ich požiadavky?

Koniec koncov, heslá sa zvyčajne udržiavajú ako hash - reťazce s pevnou dĺžkou ciphertext. Neexistuje spôsob, ako sa pozrieť na hash a povedať, aké sú parametre hesla bez dešifrovania reťazca. Je možné, že SaferVPN ukladá všetky heslá používateľov v čistom texte? Ak áno, tak‘nie sú fanúšikmi tejto praxe a tak‘mierne povedané.

UPDATE 10/16: SaferVPN vydáva vyhlásenie o svojej politike hesiel

Včera spoločnosť SaferVPN uverejnila blogový príspevok s vysvetlením zmeny politiky hesla a jej dôsledkov. Opakuje to, čo bolo povedané v e-maile:

Niektoré používateľské účty majú heslá, ktoré už spĺňajú naše nové bezpečnostné štandardy. Ostatné používateľské účty sú dočasne zamknuté, kým si používatelia nevyberú nové, prísnejšie heslo.

Toto vyhlásenie potvrdzuje naše pochopenie situácie a ponecháva rovnakú otázku - ako dokázali určiť, ktoré účty majú primerané heslá a ktoré nie.?

UPDATE 10/17: SaferVPN CEO ponúka odpoveď na naše otázky týkajúce sa hesla

V posledných dňoch sme boli v kontakte s generálnym riaditeľom SaferVPN Amitom Bareketom, ktorý nám poskytol nasledujúce vysvetlenie:

Heslo používateľa overíme pri prihlásení, takže ak nezodpovedá požiadavkám na heslo, požiadame vás o výber silnejšieho hesla (pomocou používateľského vstupu, ktorý NESKLADUJEME v danom okamihu).

Spočiatku sme boli voči tomuto vysvetleniu skeptickí, pretože podľa našich vedomostí bol predmetný účet na chvíľu nepoužívaný, takže sa zdá, že e-mail vyšiel z modrej. Okrem toho, jazyk v e-maile a vyhlásenie naznačujú, že SaferVPN preskúmal heslá a zablokoval účty, ktorých sila hesla nepomohla’nespĺňajú požiadavky.

Po prešetrení pomocou viacerých ďalších účtov SaferVPN sa nám však podarilo potvrdiť, že vysvetlenie poskytnuté spoločnosťou SaferVPN je správne. Poskytovateľ služieb VPN sa v priebehu pokusu o prihlásenie (alebo 5 neúspešných pokusov o prihlásenie) naučí silu hesla vášho účtu. To je dôvod, ktorý spúšťa prijatý e-mail.

Musíme sa poďakovať spoločnosti SaferVPN za spoluprácu a trpezlivosť pri riešení tejto záležitosti!

Vaše používateľské meno SaferVPN v službe Google Analytics?

Ako vidíte na snímke obrazovky, adresa URL na obnovenie hesla obsahuje naše používateľské meno SaferVPN (čo je tiež váš e-mail).

Používateľské meno SaferVPN v službe Google Analytics

Ak kliknete na odkaz na túto stránku, môžete si všimnúť - ako sme to urobili -, že obsahuje sledovač Google Analytics. Inými slovami, vaše používateľské meno SaferVPN ide priamo do služby Google Analytics.

Z technického hľadiska to znamená, že ktokoľvek s prístupom k účtu SaferVPN GA môže exportovať zoznam e-mailových adries použitých na prihlásenie do služby VPN, čím sa otvára vážna plechovka červov v tomto procese. Kto má prístup na SaferVPN‘s účtom GA? Majú k tomu prístup online marketingové agentúry tretích strán? A aj keď nie‘t, ich vlastný marketingový riaditeľ určite áno. že‘s už viac ako používatelia VPN by mali byť spokojní.

Ďalšia poznámka:
Podľa Zmluvných podmienok služby Google Analytics používatelia nemôžu spoločnosti Google odosielať informácie umožňujúce identifikáciu osôb. Zdá sa, že SaferVPN porušuje toto pravidlo.

7. Ochrana osobných údajov.
Nebudete a nebudete pomáhať ani nepovoľujete tretím stranám odovzdávať spoločnosti Google informácie, ktoré by spoločnosť Google mohla použiť alebo rozpoznať ako informácie umožňujúce identifikáciu osôb..

UPDATE 10/15: SaferVPN potvrdzuje problémy s ich adresami URL

Od spoločnosti SaferVPN sme dostali potvrdenie, že odstránili službu Google Analytics z ich subdomény app.safervpn.com. Okrem toho pracujú na odstránení používateľských mien / e-mailových adries zo všetkých svojich adries URL. Viac sily pre ne!

Záver: aké zlé hovoríme?

Po stretnutí so systémom SaferVPN, ktoré trvalo niekoľko dní, sme dospeli k týmto záverom:

  1. Problém s heslom je skôr problém s komunikáciou ako s problémom so zabezpečením. Sila hesla sa určuje skôr pri vstupe ako pri pohľade na databázu holého textu.
  2. SaferVPN uznal, že zahrnutie používateľského mena (e-mailovej adresy) do URL je zlý postup. Opravujú to, keď hovoríme.

Ďakujeme SaferVPN za to, že si našli čas na vyčistenie vecí a zlepšenie svojich služieb!

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

Add a Comment

Your email address will not be published. Required fields are marked *

+ 79 = 89