Электронное правительство может поиметь нас также, как и обычное
Я регистрировался на портале электронного правительства еще в то время, когда там была только одна функция - регистрация. Регистрировался и забыл.
Сейчас ребята себя активно пиарят - зовут блогеров, которые вместо того, чтобы описывать что-то, хотя бы отдаленно касающееся электронного правительства, рассказывают о том, как зависают в своих гостиничных номерах... Впрочем, это тема отдельного разговора.
Решил я восстановить свою учетную запись на портале, в общем. Воспользоваться системой напоминания пароля я не смог - почему-то моя учетная запись не содержала адреса электронной почты. Ничего необычного - я просто написал в службу поддержки.
В итоге у меня попросили уточнить адрес электронной почты и ИНН, а затем... Произошло самое интересное...
Сотрудница поддержки мне выслала мой старый пароль. Просто взяла руками и выслала мой пароль.
Ввиду того, что у многих людей пароли всегда и везде одинаковые - будьте бдительны, электронное правительство может вас поиметь, когда им вздумается!
Далее, пояснение для тех, кто далек от IT, а также для программистов электронного правительства:
Ни один серьезный интернет-сервис не хранит пароли пользователей в открытом виде. Вам ведь никогда Google, Яндекс или Одноклассники не высылали забытые пароли - всегда предлагают систему смены пароля в случае утери или генерацию нового. Пароли у них хранятся в зашифрованном виде. Например, простой пароль pivo в шифрованном виде выглядит как f854d301c6cce8f6ff2dea0a62d0781a. Этот шифр нельзя обратить (не берем в расчет особые случаи) - обратно pivo вы не получите никогда из этой комбинации. В тот момент, когда вы пытаетесь зайти под своим логином и паролем pivo в какую-нибудь систему - пароль сначала шифруется, а потом сравнивается с тем шифром, что уже хранится в базе данных.
Update:
Особенно весело на этом фоне читать сегодняшний пост одного из блогеров, побывавшего в этом блог-туре электронного правительства. Цитата из его поста:
Похоже на то, что с безопасностью там порядок. Нам даже фотографировать там не разрешили.
Ясное дело - не разрешили, а вдруг ты бы чьи-нибудь пароли сфотографировал?..
Supercharged
Комментарии
и даже не спросила девичью фамилию твоей мамы)))
либо внутренний запрос к определенным службам которые и предоставили пароль оператору, это конечно не очень профессионально, но возможно ваш случай был каким-либо исключением
просто я уже сталкивался с подобной системой, даже получив полный доступ к серверу с которого идут запросы я не смог вытянуть никаких данных)
еще раз повторюсь мы не о форумах и цмсках ведь толкуем)
и я описал только один из вариантов) которых множество
это гос структура, и работает это все в соответствии с гостами по защите информации
вариант, при котором можно восстановить тот же пароль, только один - хранение этого пароля в открытом виде. больше в природе возможностей не существует для этого. и гостов тоже :) кстати, по этим же гостам каждые три-четыре года выдергиваются базы ГАИ, РНН, сотовых операторов :) теперь ещё и гос. база будет всем доступна со всеми данными о каждом человека :) прекрасная вещь.
что хешируется или может хешироваться в базе гаи или базе сотовых операторов)
нет такой защиты которая гарантирует что человек с опред уровнем доступа не выложит иформацию его уровня доступа в общий доступ, и поэтому как пример для нашего с вами случая не подходит
пароли хэшируются, с помощью которых получают доступ к этим базам и данным в них.. вернее должны... но казахстан до этого ещё не эволюционировал. не удивлюсь, если егов будет отдавать личную инфу о людях тупо из запроса в адресной строке :)
вам и 100 метровую базу через инет не выкачать) а к примеру база паспортная где всего 8 колонок одного региона весит 7гб)
ну чтож, если вы даже не зная меня беретесь судить о моих знаниях, но при этому еще и судите сразу обо всем в ключе - "всегда так" и "я все знаю об этом" даже не являясь специалистом в этом), я умываю руки)
потому что как говорят врачи: это п*здец, а п*здец мы не лечим)
да вы вполне можете судить о тоз)
построив 2 курятника и с десяток скворечников я тоже смогу критиковать технологии по строительству сооружений из древесины)
или это вам дает право оценивать чужие познания на эту тематику)
"таки-да, даёт мне это право оценивать того, кто пишет, о чем сам не знает."
давайте я добавлю
"даже если я сам не знаю) но считаю что знаю)"
определенная система - это какая? :)
авторизация чего производится? один сервер авторизуется на другом? и всё-таки данные хранятся в открытом виде? второй сервер доступен из сети?
я вам ответил на то что вы спросили в последний раз, хотя этого можно было понять прочитав предыдущие мои комменты, какие теперь еще вопросы могут быть, может быть вам расписывать все до гостов, делать мне больше нефиг) если вам это интересно, ищите читайте)
Вы говорите что, есть защита с помощью уровней доступа. Но человеческий фактор никто не исключал. У Оператора можно вытянуть пароль от базы, установив трояна на его ПК или социальной инженерией, способов взлома много, это смотря кто подойдет к этому делу.
Вот если бы пароли хэшировались, то даже если кто то сольет базу, ему потребовалось бы очень много времени, что бы расшифровать ОДИН пароль. А сейчас, хакер может слить базу и спокойно использовать в своих злых целях.
В общем, как не говори, но когда пишутся такие системы, которыми будут пользоваться миллионы, такие ошибки не должны быть.
только на ювижене есть пара-тройка толковых программеров, продуктами которых пользуются и в России и в Казахстане... просто они не пилят бюджеты вместе с высокопоставленными.. всего-то :)
какой смысл об этом жаловаться или стенать просто не могу понять)
тут понимаете ли, либо - черт побери они обворовывают страну, либо - я бы и сам не против)
а у вас и то и другое скользит в комментариях одновременно)
попробовал восстановить, все без проблем, генерируется новый
на почту пришло:
Здравствуйте. Портал электронного правительства РК сообщает Вам, что Ваш пароль был изменен.
Новый пароль: JhawUCWA
Вы можете сменить этот пароль в своем профайле.
Но один момент я тебе скажу - в одной базе не может быть (или очень маловероятно) половины пользователей с шифрованным паролем, а второй половины с нешифрованным. Поэтому я все же вывод делаю о том, что пароли не шифруются. Поэтому рекомендую тебе пароль там поставить отличный, от твоего обычного...
не хорошо....