Новый способ хранения и управления паролями

04.02.2018

В сервисе введен новый способ хранения и управления паролями пользователей. Теперь все пароли хранятся в виде хешей без возможности их восстановления и кражи. Ранее в системе использовался только один общий пароль для личного кабинета и для API, из-за чего в случае изменения пароля от личного кабинета приходилось менять пароли во всех программах, работающих автоматически через API сервиса, что создавало определенные неудобства.

Для того, чтобы не требовалось изменение паролей в программах, функция напоминания паролей работала в режиме предоставления оригинального пароля по запросу пользователей, для чего требовалось обратимое хранение пароля в базе данных. Хотя пароли в базе были зашифрованы, но все же их расшифровка была возможна в случае потенциальной утечки базы и алгоритма шифрования, что снижало общую защищенность сервиса.

Поэтому задача по изменению работы с паролями и их более безопасному хранению была долгое время актуальна и сейчас наконец-то выполнена. Теперь в базе данных пользователей хранятся не сами пароли, а их хеши (контрольные суммы), которые не дают возможность получения оригинального пароля, а служат только для проверки паролей при аутентификации.

В связи с указанными изменениями теперь в случае потери пароля от личного кабинета нет возможности сообщить его пользователю, а только предоставляется возможность задать новый пароль по специальной ссылке, отправляемой на e-mail или телефон из настроек аккаунта. Пароли для API и SMPP теперь могут храниться отдельно в разделе Дополнительные пароли, там же можно создавать дополнительные пароли от личного кабинета.

Основной пароль аккаунта, указанный при регистрации, является общим и разрешает доступ и к личному кабинету, и к API, как было и раньше, а дополнительные пароли разрешают только указанный в их типе доступ.

Для совместимости со старыми программами клиентов в новом разделе дополнительных паролей были автоматически созданы пароли в виде MD5-хеша основного пароля, который ранее рекомендовался к использованию в API, а также пароль для SMPP-протокола при его наличии у клиента в настройках.

MD5-хеш в настоящее время устарел и уже не является надежным, по нему можно найти оригинальный пароль с помощью перебора за доступное современным компьютерам время, поэтому рекомендуем больше его не использовать, а создать в новом разделе другой пароль для доступа к API. Можете ввести любой набор символов, перехват данного пароля не даст потенциальным злоумышленникам доступ в личный кабинет.

Пароль от личного кабинета теперь не рекомендуем использовать в автоматических программах по API, хотя такая возможность остается. В случае изменения основного пароля после регистрации система автоматически сохранит хеш старого пароля для возможности использования в API на случай, если он уже был прописан в какой-либо программе, и ранее пользователь сам не создал отдельный пароль для API. Если старый пароль нигде не используется, удалите его из списка.

Все указанные изменения в сервисе по обработке паролей не требуют обязательных действий со стороны клиентов, все программы и доступы в личные кабинеты продолжают работать, но перечисленные изменения и рекомендации повысят защиту от несанкционированного доступа. Рекомендуем проверить новый раздел с паролями в личном кабинете и при необходимости удалить неиспользуемые пароли или создать новые.

все новости



=100% cellpadding=0>Оператор СберМобайл вводит обязательную регистрацию бесплатного имени отправителя20.02.2024С 1 марта виртуальный оператор связи СберМобайл (Россия) вводит обязательную регистрацию буквенного имени отправителя на бесплатной основе для отправки SMS-сообщений в его сеть. С указанной даты SMS-сообщения, отправленные без предварительной регистрации имени, будут блокироваться.
подробнее