Allegro wysłało do części swoich użytkowników maila z prośbą (albo groźbą? ;)) o zmianę hasła. Nie był to klasyczny mail mówiący, jakie hasła są słabe i przypominający, żeby nie podawać ich byle gdzie. Serwis poinformował, że jeśli nie zmienimy sobie hasła to… niedługo pożegnamy się z kontem. Czy Allegro bez powodu powoduje spory chaos i irytację u użytkowników, czy może coś jeszcze jest na rzeczy?
Treść maila do userów:
Kontynuujemy akcję zwiększania bezpieczeństwa w serwisie. W związku z tym przy najbliższym korzystaniu z Allegro zmień swoje hasło do konta.
Jeśli nie zmienisz hasła, w połowie października stracisz dostęp do tych funkcji serwisu, które wymagają logowania. Odzyskasz go po zmianie hasła. Służący do tego formularz otworzy się wówczas automatycznie zamiast zwykłej strony logowania. Pamiętaj, aby uaktualnić hasło również w zewnętrznych aplikacjach i programach, używanych do obsługi konta w Allegro.
Na początku pomyślałem, że może – podobnie jak kiedyś Wykop – Allegro padło ofiarą włamu, a teraz robi dobrą minę do złej gry. Wysłałem więc maila do działu prasowego firmy z prośbą o szczegóły.
Jednoznacznie mogę Pana zapewnić, że wymuszenie zmiany haseł nie ma związku z włamaniem do serwisu ani utratą bazy haseł Użytkowników.
Jest to drugi etap opreracji mającej na celu zwiększenie bezpieczeństwa naszych Użytkowników. Wymuszenie haseł nie dotyczy wszystkich Użytkowników Allegro, a jedynie pewnej liczby.
Ja tam im wierzę :)
Inne rozwiązanie jest – całe szczęście – bezpieczniejsze. Allegro jakoś zmienia sposób kodowania swoich haseł na bezpieczniejszy. Nie znam się na tym, więc nie będę się wymądrzał – ogólnie chodzi o to, że hasło jest w bazie zapisywane w formie zakodowanego ciągu znaków. Być może firma wprowadza jakiś nowy “szyfr”.
W tym momencie pytanie jest tylko takie, dlaczego dotyczy to jedynie “pewnej liczby”. Zapewne po prostu zmiany są wprowadzane etapowo. W tej sytuacji jedynym moim zastrzeżeniem jest to, że może warto byłoby poinformować precyzyjniej, na czym polegają zmiany, żeby nie wywoływać paniki (z tego, co widzę, sporo ludzi wierzy, że chodzi o włam).
taifoon
pewnie znowu na wykopie ktoś dane zgubił – ostatnio po takiej akcji chyba NK zmieniała hasła
zastanawia fakt że “wybrana” grupa MUSI zmienić hasło – to nie prośba
DoReMi
Sądzę, że jakiś czas temu wprowadzili dodatkowe “zabezpieczenia” (może nawet inne kodowanie) i teraz każą zmieniać wszystkim, którzy zmieniali przed tym upgradem.
Ciekawe, ale już raz kazali mi zmieniać hasło i teraz znowu.
Ciekawe^2, że udaje się wprowadzić stare i nowe hasło takie samo – zmienić na takie samo jak było…
Przykre, że kiepsko działa ich ocena słabego/mocnego hasła.
Przykre^2 – to samo hasło raz uznał jako słabe, a po ponownym wpisaniu jako mocne…
Seban
Już kiedyś takie maile były. Ja nie dostałem maila. Skąd allegro wie, że zakodowane hasło jest za słabe, za krótkie, cokolwiek? Żeby zmienić kodowanie haseł z czegoś na coś to chyba trzeba mieć też to hasło zapisane jako plain text. Chyba.
noone
Haseł się nie koduje tylko jak już to przekształca za pomocą funkcji jednokierunkowej – hashującej.
Paweł Opydo
@noone – czyli – mówiąc po ludzku – koduje/szyfruje.
Nowe hasła w Allegro | Aukcjoteka
[...] Paweł Opydo pytał u źródeł i źródła mu powiedziały, że wszystko jest ok i Paweł im wierzy. Ja jedno w co wierzę, to to, że biuro prasowe Allegro nie mogło przecież odpowiedzieć inaczej. Co mieli odpisać? “Damn, przyłapałeś nas. Mieliśmy nadzieję, że się nie wyda, ale skoro już pytasz, nie możemy kłamać, bo to jest fe. Faktycznie ktoś wykradł hasła i jesteśmy w d.pie”? [...]
AntyWeb | » Zeszły tydzień w skrócie.
[...] Allegro zmienia hasła Allegro wysłało do części swoich użytkowników maila z prośbą (albo groźbą? ;)) o zmianę hasła. Nie był to klasyczny mail mówiący, jakie hasła są słabe i przypominający, żeby nie podawać ich byle gdzie. Serwis poinformował, że jeśli nie zmienimy sobie hasła to… niedługo pożegnamy się z kontem. Czy Allegro bez powodu powoduje spory chaos i [...]+ [...]
Marcin Kosedowski
@Paweł Opydo: “mówiąc po ludzku – koduje/szyfruje.”
Nie. Kodowanie/szyfrowanie to nie to samo co hashowanie/ obliczanie skrótu.
Kodowanie i szyfrowanie pozwalają z zakodowanego/zaszyfrowanego tekstu odzyskać tekst wejściowy. Hashowanie działa tylko w jedną stronę: z hasła (lub innego tekstu) uzyskuje się skrót/hash, ale nie odwrotnie. Właśnie dlatego nie da się na podstawie hasha sprawdzić jakie jest hasło, a co za tym dziie jakie jest ono silne.
Paweł Opydo
@Marcin Kosedowski – słyszałeś o czymś takim jak “mowa potoczna”? Napisałem, że się na tym nie znam, więc dla mnie “hashowanie” to po ludzku (potocznie) “szyfrowanie czegoś w jedną stronę”.
Marches
wiecie allegro jak by nie było jest zapewne atakowane nie raz i nie dwa, więc musieli się lepiej zabezpieczyć po tej wpadce wykopu, dzisiaj każda strona nie jest w pełni bezpieczna a już takie poważne portale i serwisy muszą cały czas czuwać nad bezpieczeństwem i udoskonalać swoje systemy.