Does password matter(s)?

Metallica jest jednym z moich ulubionych zespołów. Do tej pory ograniczałem się do słuchania ich muzyki i chodzenia na koncerty. Postanowiłem pójść jeszcze krok dalej i zapisałem się do oficjalnego

Metallica jest jednym z moich ulubionych zespołów. Do tej pory ograniczałem się do słuchania ich muzyki i chodzenia na koncerty. Postanowiłem pójść jeszcze krok dalej i zapisałem się do oficjalnego klubu zespołu – Metclubu. Po zarejestrowaniu się na stronie i opłaceniu członkostwa, pozostało mi czekać na paczkę powitalną wysłaną ze Stanów Zjednoczonych. W momencie rejestracji login i hasło przyszły też na moją skrzynkę e-mail. Obecnie nie stosuje się już takich rozwiązań z kilku powodów. Po pierwsze w przypadku zapomnienia loginu lub hasła istnieją metody ich odzyskiwania. Po drugie przechowywanie takich informacji na skrzynce pocztowej nie jest bezpieczne, jednak o tym za chwilę.

Po kilku tygodniach wyczekiwania paczkę znalazłem w końcu w swojej skrzynce. W domu zacząłem przeglądać zawartość i bardzo się zdziwiłem, kiedy zobaczyłem swój login i hasło wydrukowane na kartce i wrzucone luzem do koperty…

blablabla

Ja tu czegoś nie rozumiem. Skoro aby przystąpić do Metclubu musiałem założyć konto w serwisie www.metallica.com, to dlaczego informacja o loginie i haśle została mi wysłana na maila i, co gorsza, w paczce pocztowej. Myślę, że jest to całkowicie zbędne, a nawet niebezpieczne, bo w przypadku:

  • zaginięcia paczki
  • zgubienia kartki z hasłem
  • przechwyceniu przez osoby trzecie konta pocztowego

…ktoś może bez problemu zalogować się na konto. Są tam dane osobowe, dokładny adres zamieszkania, nr telefonu, adres e-mail. Nie jest też tajemnicą, że wiele osób używa jednego hasła do wielu serwisów. Istnieje duże prawdopodobieństwo, że adres e-mail połączony z kontem Metclubu oraz hasło dostępu będzie pasowało także do portali społecznościowych, banku czy innych skrzynek pocztowych.

Napisałem do Metclubu maila, w którym wyjaśniłem swoje obawy, zarówno te związane z przesyłaniem hasła tradycyjną pocztą, jak i wysyłaniem danych do logowania na mailem, bezpośrednio po zarejestrowaniu. Po dwóch dniach dostałem odpowiedź, że pracują nad nowym systemem, który rozwiąże ten problem…

obrazek2

Cóż… Mam nadzieję, że ten system zostanie wdrożony szybko, bo w czasach, kiedy przestępcy stosują coraz bardziej wyrafinowane metody ataków i socjotechnikę, wysyłanie hasła w paczce pocztowej jest bardzo niebezpiecznym posunięciem.

Porady