Jak bezpečné je vaše uživatelské jméno a heslo se SaferVPN?


AKTUALIZACE 10/15: SaferVPN nás kontaktovalo, abychom informovali, že odstranili Google Analytics z jejich subdomény app.safervpn.com a pracují na úplném odstranění e-mailových adres z jejich adres URL..

AKTUALIZACE 10/16: SaferVPN vydává prohlášení o své politice hesel - přečtěte si více níže.

AKTUALIZACE 10/17: Poté, co jsme provedli vlastní šetření, jsme spokojeni s vysvětlením generálního ředitele SaferVPN Amita Bareketa. Přečtěte si více níže.

My‘nestydí se přiznat, že máme na VPNpro.com mnoho předplatných VPN. Stopa byla vždy ve jménu, stejně.

Dnes se u jednoho z těchto účtů vyskytl problém. SaferVPN nám poslal e-mail s oznámením, že náš uživatel byl uzamčen, protože změnili zásady týkající se hesel, a stalo se tak, že naše heslo nebylo‘nesplňovat nové požadavky. Důvodem této změny zásad bylo zjevně velké porušení Facebooku.

safervpn zákazník

Nejprve jsme to udělali‘nemyslím na nic z toho - jen drobné obtíže, nic, o co bys mohl fňukat. Ale najednou nás realizace zasáhla:

Jak vědí, že naše heslo není‘nesplňují jejich požadavky?

Koneckonců, hesla jsou obvykle udržována jako hash - řetězce pevné délky ciphertext. Neexistuje způsob, jak se podívat na hash a říct, jaké jsou parametry hesla bez dešifrování řetězce. Je možné, že SaferVPN ukládá všechna hesla uživatelů v prostém textu? Pokud ano, my‘nejsou fanoušky této praxe a to‘je to mírně.

UPDATE 10/16: SaferVPN vydává prohlášení o své politice hesel

Včera SaferVPN zveřejnil blogový příspěvek s vysvětlením jejich změny politiky hesla a jejích důsledků. Znovu opakuje to, co bylo v e-mailu uvedeno:

Některé uživatelské účty mají hesla, která již splňují naše nové bezpečnostní standardy. Další uživatelské účty jsou dočasně uzamčeno, dokud si uživatelé nezvolí nové, silnější heslo.

Toto prohlášení potvrzuje naše pochopení situace a ponechává stejnou otázku - jak byli schopni určit, které účty mají odpovídající hesla a které ne.?

AKTUALIZACE 10/17: SaferVPN CEO nabízí odpověď na naše otázky týkající se hesla

V posledních několika dnech jsme byli v kontaktu s generálním ředitelem SaferVPN Amitem Bareketem, který nám poskytl následující vysvětlení:

Přihlašovací heslo ověřujeme při přihlášení, takže pokud neodpovídá požadavkům na heslo, požádáme o výběr silnějšího hesla (pomocí uživatelského vstupu, který NEVYKLÁDÁME).

Zpočátku jsme byli vůči tomuto vysvětlení skeptičtí, protože podle našich znalostí byl dotyčný účet chvíli nepoužíván, takže se zdálo, že e-mail vyšel z modře. Kromě toho jazyk v e-mailu a prohlášení naznačují, že SaferVPN prozkoumal hesla a zablokoval účty, jejichž síla hesla nebyla’nesplňovat požadavky.

Po prozkoumání několika dalších pomocí několika dalších účtů SaferVPN jsme však mohli potvrdit, že vysvětlení poskytnuté SaferVPN je správné. Poskytovatel služeb VPN se zkrátka při pokusu o přihlášení (nebo 5 neúspěšných pokusech o přihlášení) naučí sílu hesla vašeho účtu. Právě to spustí e-mail, který jsme dostali.

Musíme poděkovat společnosti SaferVPN za spolupráci a trpělivost při řešení této záležitosti!

Vaše uživatelské jméno SaferVPN v Google Analytics?

Jak vidíte na snímku obrazovky, adresa URL pro resetování hesla zahrnuje naše uživatelské jméno SaferVPN (což je také váš e-mail).

Uživatelské jméno SaferVPN v Google Analytics

Pokud kliknete na odkaz na stránku, můžete si všimnout - stejně jako my -, že je na něm tracker Google Analytics. Jinými slovy, vaše uživatelské jméno SaferVPN jde přímo do Google Analytics.

Technicky to znamená, že kdokoli, kdo má přístup k účtu SaferVPN GA, může exportovat seznam e-mailových adres použitých k přihlášení do služby VPN, čímž se v procesu otevírá vážná plechovka červů. Kdo má přístup k SaferVPN‘s účtem GA? Mají k tomu přístup online marketingové agentury třetích stran? A i když ne‘t, jejich vlastní marketingový ředitel jistě ano. Že‘s již více než uživatelé VPN by měli být spokojeni.

Další věc na vědomí:
V souladu se smluvními podmínkami služby Google Analytics nemohou uživatelé předávat společnosti Google osobní údaje. Zdá se, že SaferVPN toto pravidlo porušuje.

7. Ochrana osobních údajů.
Nebudete a nebudete pomáhat ani nepovolujete žádné třetí straně předávat společnosti Google informace, které by společnost Google mohla použít nebo rozpoznat jako osobní údaje..

UPDATE 10/15: SaferVPN potvrzuje problémy s jejich URL

Od SaferVPN jsme dostali potvrzení, že odstranili Google Analytics z jejich subdomény app.safervpn.com. Kromě toho pracují na odstranění uživatelských jmen / e-mailových adres ze všech svých adres URL. Více energie pro ně!

Závěr: jak špatně mluvíme?

Po několika dnech v programu SaferVPN jsme dospěli k následujícím závěrům:

  1. Problém s heslem je spíše problém s komunikací než problém se zabezpečením. Síla hesla se určuje spíše v okamžiku zadání, než při pohledu na databázi prostého textu.
  2. SaferVPN uznal, že zahrnutí uživatelského jména (e-mailové adresy) do URL je špatný postup. Opravují to, když mluvíme.

Děkujeme SaferVPN, že jste si udělali čas na vyjasnění věcí a zlepšení jejich služeb!

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

Add a Comment

Your email address will not be published. Required fields are marked *

42 − = 35