Várias empresas admitiram recentemente armazenar senhas em formato de texto simples. É como armazenar uma senha no Bloco de notas e salvá-la como um arquivo .txt. As senhas devem ser salgadas e hash para segurança, então por que isso não está acontecendo em 2019?
Por que as senhas não devem ser armazenadas em texto simples
Quando uma empresa armazena senhas em texto simples, qualquer pessoa com o banco de dados de senhas – ou qualquer outro arquivo em que as senhas estejam armazenadas – pode lê-las. Se um hacker obtiver acesso ao arquivo, ele poderá ver todas as senhas.
Armazenar senhas em texto simples é uma prática terrível. As empresas devem fazer sal e hash de senhas, que é outra maneira de dizer “adicionar dados extras à senha e, em seguida, embaralhar de uma forma que não possa ser revertida”. Normalmente, isso significa que, mesmo que alguém roube as senhas de um banco de dados, elas não poderão ser utilizadas. Quando você faz login, a empresa pode verificar se sua senha corresponde à versão codificada armazenada – mas eles não podem “retroceder” no banco de dados e determinar sua senha.
Então, por que as empresas armazenam senhas em texto simples? Infelizmente, às vezes as empresas não levam a segurança a sério. Ou optam por comprometer a segurança em nome da conveniência. Em outros casos, a empresa faz tudo certo ao armazenar sua senha. Mas eles podem adicionar recursos de registro excessivamente zelosos, que registram as senhas em texto simples.
Várias empresas têm senhas armazenadas incorretamente
Você já pode ser afetado por práticas inadequadas porque Robinhood, o Google, o Facebook, GitHub, Twitter e outros senhas armazenadas em texto simples.
No caso do Google, a empresa estava fazendo hash e salgando as senhas de maneira adequada para a maioria dos usuários. Mas Senhas da conta do G Suite Enterprise foram armazenados em texto simples. A empresa disse que isso era uma prática remanescente de quando deu aos administradores de domínio ferramentas para recuperar senhas. Se o Google tivesse armazenado corretamente as senhas, isso não teria sido possível. Apenas um processo de redefinição de senha funciona para recuperação quando as senhas são armazenadas corretamente.
Quando o Facebook também admitiu armazenar senhas em texto simples, não fornecia a causa exata do problema. Mas você pode inferir o problema a partir de uma atualização posterior:
… Descobrimos registros adicionais de senhas do Instagram armazenados em um formato legível.
Às vezes, uma empresa fará tudo certo ao armazenar inicialmente sua senha. Em seguida, adicione novos recursos que causam problemas. Além do Facebook, Robinhood, Github, e Twitter senhas de texto simples registradas acidentalmente.
O registro é útil para localizar problemas em aplicativos, hardware e até mesmo no código do sistema. Mas se uma empresa não testar essa capacidade de registro completamente, isso pode causar mais problemas do que resolver.
No caso do Facebook e do Robinhood, quando os usuários forneciam seu nome de usuário e senha para entrar, a função de registro podia ver e registrar os nomes de usuário e senhas à medida que eram digitados. Em seguida, ele armazenou esses logs em outro lugar. Qualquer pessoa que tivesse acesso a esses registros tinha tudo de que precisa para assumir uma conta.
Em raras ocasiões, uma empresa como a T-Mobile Australia pode desconsiderar a importância da segurança, às vezes em nome da conveniência. Em um troca do Twitter desde que foi excluída, um representante da T-Mobile explicou a um usuário que a empresa armazena senhas em texto simples. O armazenamento de senhas dessa forma permitiu que os representantes de atendimento ao cliente vissem as primeiras quatro letras de uma senha para fins de confirmação. Quando outros usuários do Twitter apontaram apropriadamente como seria ruim se alguns