Новий спосіб зберігання і управління паролями

04.02.2018

У сервісі введено новий спосіб зберігання і управління паролями користувачів. Тепер всі паролі зберігаються у вигляді хешів без можливості їх відновлення та крадіжки. Раніше в системі використовувався тільки один загальний пароль для особистого кабінету і для API, через що в разі зміни пароля від особистого кабінету доводилося міняти паролі у всіх програмах, які працюють автоматично через API сервісу, що створювало певні незручності.

Для того, щоб не була потрібна зміна паролів в програмах, функція нагадування паролів працювала в режимі надання оригінального пароля за запитом користувачів, для чого було потрібно оборотне зберігання пароля в базі даних. Хоча паролі в базі були зашифровані, але все ж їх розшифровка була можлива в разі потенційної витоку бази і алгоритму шифрування, що знижувало загальну захищеність сервісу.

Тому завдання зі зміни роботи з паролями і їх більш безпечному зберіганню була довгий час актуальна і зараз нарешті виконана. Тепер в базі даних користувачів зберігаються не самі паролі, а їх хеши (контрольні суми), які не дають можливість отримання оригінального паролю, а служать тільки для перевірки паролів при аутентифікації.

У зв'язку із зазначеними змінами тепер в разі втрати пароля від особистого кабінету немає можливості повідомити його користувачеві, а тільки надається можливість задати новий пароль за спеціальним посиланням, що відправляється на e-mail або телефон з налаштувань облікового запису. Паролі для API та SMPP тепер можуть зберігатися окремо в розділі Додаткові паролі , також є можливість створювати додаткові паролі від особистого кабінету.

Основний пароль аккаунту, вказаний при реєстрації, є загальнимта надає доступ і до особистого кабінету, і до API, як було і раніше, а додаткові паролі дозволяють тільки вказаний в їх типі доступ.

Для сумісності зі старими програмами клієнтів в новому розділі додаткових паролів були автоматично створені паролі у вигляді MD5-хеш-кодування основного паролю, який раніше рекомендувався до використання в API, а також пароль для SMPP-протоколу при його наявності у клієнта в налаштуваннях.

MD5-хеш в даний час застарів і вже не є надійним, по ньому можна знайти оригінальний пароль за допомогою перебору за доступне сучасним комп'ютером час, тому рекомендуємо більше його не використовувати, а створити в новому розділі інший пароль для доступу до API. Можете ввести будь-який набір символів, перехоплення даного пароля не дасть потенційним зловмисникам доступ в особистий кабінет.

Пароль від особистого кабінету тепер не рекомендуємо використовувати в автоматичних програмах по API, хоча така можливість залишається. У разі зміни основного паролю після реєстрації система автоматично збереже хеш старого пароля для можливості використання в API на випадок, якщо він вже був прописаний в будь-якій програмі, і раніше користувач сам не створив окремий пароль для API. Якщо старий пароль ніде не використовується, вийміть його зі списку.

Всі зазначені зміни в сервісі по обробці паролів не вимагають обов'язкових дій з боку клієнтів, все програми і доступи в особисті кабінети продовжують працювати, але перераховані зміни і рекомендації підвищать захист від несанкціонованого доступу. Радимо перевірити новий розділ з паролями в особистому кабінеті і при необхідності видалити невикористовувані паролі або створити нові.

всі новини