Hur säkert är ditt användarnamn och lösenord med SaferVPN?


UPPDATERING 10/15: SaferVPN har kontaktat oss för att informera om att de har tagit bort Google Analytics från deras underdomän app.safervpn.com och arbetar för att ta bort e-postadresser från deras URL: er helt.

UPPDATERING 10/16: SaferVPN släpper ett uttalande om deras lösenordspolicy - läs mer nedan.

UPPDATERING 10/17: Efter att ha genomfört vår egen utredning är vi nöjda med förklaringen från SaferVPN: s VD Amit Bareket. Läs mer nedan.

Vi‘skäms inte för att erkänna att vi har massor av VPN-prenumerationer här på VPNpro.com. Ledtråden var alltid i namnet, ändå.

Tja, idag stötte ett av dessa konton på ett problem. SaferVPN skickade ett e-postmeddelande för att säga att vår användare var låst eftersom de hade ändrat sin lösenordspolicy och det hände så att vårt lösenord inte‘t uppfyller de nya kraven. Uppenbarligen var orsaken till denna politiska förändring det massiva Facebook-brottet.

safervpn-kund

Först gjorde vi inte det‘t tänk på någonting på det - bara en mindre olägenhet, ingenting att gnälla över. Men plötsligt slog insikten oss:

Hur vet de att vårt lösenord inte gör det‘t uppfyller deras krav?

När allt kommer omkring, är lösenord vanligtvis förvaras som hashes - med fast längd strängar av chiffertext. Det finns inget sätt att titta på en hash och berätta vad lösenordsparametrarna är utan att dekryptera strängen. Kan det vara så att SaferVPN lagrar alla användarlösenord i klartext? I så fall vi‘är inte fans av denna praxis och det‘s uttrycker det mildt.

UPDATE 10/16: SaferVPN släpper ett uttalande om deras lösenordspolicy

Igår gjorde SaferVPN ett blogginlägg som förklarade deras lösenordsförändring och dess konsekvenser. Den upprepar vad som sades i e-postmeddelandet:

Vissa användarkonton har lösenord som redan uppfyller våra nya säkerhetsstandarder. Andra användarkonton är tillfälligt låst tills användare väljer ett nytt, starkare lösenord.

Detta uttalande bekräftar vår förståelse av situationen och lämnar samma fråga - hur kunde de avgöra vilka konton som har adekvata lösenord och vilka som inte har?

UPDATE 10/17: SaferVPN CEO erbjuder ett svar på våra lösenordsfrågor

Under de senaste dagarna har vi varit i kontakt med SaferVPN: s VD Amit Bareket, som har erbjudit oss följande förklaring:

Vi validerar användarlösenordet vid inloggning, så om det inte överensstämmer med lösenordskraven så ber vi om att välja ett starkare lösenord (med användarinmatningen, som vi INTE lagrar vid en viss tidpunkt).

Till en början var vi skeptiska till denna förklaring, eftersom vi känner till att det aktuella kontot hade använts ett tag, så e-postmeddelandet tycktes ha kommit ur det blå. Dessutom föreslog språket i e-postmeddelandet och uttalandet att SaferVPN har tittat igenom lösenorden och blockerat konton vars lösenordsstyrka inte gjorde’t uppfyller kraven.

Men efter att ha undersökt några fler med flera andra SaferVPN-konton kunde vi dock bekräfta att förklaringen som ges av SaferVPN är korrekt. Kort sagt, VPN-tjänsteleverantören lär dig ditt konto lösenord styrka under ett inloggningsförsök (eller 5 misslyckade inloggningsförsök). Det här är vad som utlöser e-postmeddelandet som vi fick.

Vi måste tacka SaferVPN för deras samarbete och tålamod när det gäller att lösa denna fråga!

Ditt SaferVPN-användarnamn på Google Analytics?

Som du kan se på skärmdumpen inkluderar webbadressen för återställning av ditt lösenord vårt SaferVPN-användarnamn (som också råkar vara din e-post).

SaferVPN-användarnamn på Google Analytics

Om du följer länken till sidan kanske du märker - som vi gjorde - att den har en Google Analytics-tracker på sig. Med andra ord går ditt SaferVPN-användarnamn direkt till Google Analytics.

Tekniskt innebär detta att alla som har tillgång till SaferVPN GA-kontot kan exportera en lista med e-postadresser som används för att registrera sig för VPN-tjänsten och öppna en allvarlig burk av maskar i processen. Vem har tillgång till SaferVPN‘s GA-konto? Har tredjepartsmarknadsföringsbyråer tillgång till det? Och även om de inte gör det‘t, gör deras egen marknadschef säkert. Det där‘s redan mer än VPN-användare borde vara bekväma med.

En annan sak att notera:
Enligt användarvillkoren för Google Analytics får användare inte skicka personligt identifierbar information till Google. SaferVPN verkar bryta mot denna regel.

7. Sekretess.
Du kommer inte och kommer inte att hjälpa eller tillåta någon tredje part att skicka information till Google som Google kan använda eller erkänna som personlig identifierbar information.

UPDATE 10/15: SaferVPN bekräftar problem med deras webbadresser

Vi har fått bekräftelse från SaferVPN att de har tagit bort Google Analytics från deras underdomän app.safervpn.com. Dessutom arbetar de för att ta bort användarnamn / e-postadresser från alla sina webbadresser. Mer kraft för dem!

Slutsats: hur illa talar vi?

Efter fram och tillbaka med SaferVPN som varade i flera dagar har vi kommit fram till följande slutsatser:

  1. Lösenordsproblemet är ett kommunikationsproblem snarare än ett säkerhetsproblem. Lösenordstyrka bestäms vid tidpunkten för inmatning, snarare än genom att titta på en vanlig textdatabas.
  2. SaferVPN har medgett att det är dåligt att inkludera användarnamn (e-postadress) i webbadresser. De fixar det när vi talar.

Vi tackar SaferVPN för att vi tog oss tid att rensa saker och förbättra deras tjänster!

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

Add a Comment

Your email address will not be published. Required fields are marked *

+ 70 = 80