Не используйте одинаковые пароли

oopsОдин мой знакомый работал менеджером по интернет-маркетингу и занимался развитием корпоративного сайта одной компании средних размеров. Все как обычно – контент, рассылки, контекст, и мечты о настоящем интернет-маркетинге.

И случилась там одна забавная и поучительная история…


Сайт компании был разработан веб-студией средней руки (ну то есть не ТОП-50, но и не шарашкина контора) на базе CMS-системы их собственной разработки. Сейчас это уже не модно, но в то время было много подобных поделок. Система была не сильно гибкая, но с задачами справлялась. Среди прочего на сайте был закрытый партнерский раздел, а также возможность регистрации для пользователей, которые хотели скачивать статьи с сайта. Вот это и было интересно.

CMS-ку делали не дураки, там все было вполне прилично. Пароли зарегистрированных пользователей, конечно, хранились в виде хэшей. Но! Интернет-маркетолог в целях подсчета конверсий и сбора лидов, конечно же, получал email-уведомления о регистрации новых пользователей. В этих уведомлениях помимо введенных при регистрации персональных данных содержались пароли.

Да, пароли в открытом виде. То есть в базу их записывали хешом, но перед этим в открытом виде отправляли на заданный администратором адрес. Причем это мой друг просто хочет верить, что отправлялись только на его адрес, а так-то кто знает.

Как бы то ни было, за два с половиной года работы сайта мой друг набрал порядка двух с половиной тысяч паролей и email-в. И вот в один унылый осенний день ему стало интересно, а что это там за пароли такие. И он провел простенькое исследование.

Он выбрал последние 100 анкет, где была использована web-почта и проверил, а не подойдут ли пароли, указанные людьми при регистрации на его сайте к их же аккаунтам в почтовых сервисах. И что же вы думаете?

Оказалось, что порядка 10% людей действительно использовали один и тот же пароль! То есть мой друг спокойно вошел в их почтовые аккаунты и мог бы почитать их переписку. Нет он конечно не стал, так как мой друг человек порядочный, но мог бы…

В учетных записях также указывались компании и должности. Не во всех. Не во всех правдиво, но где-то явно были указаны верно. То есть мой друг знал имя, должность, компанию и доступ к почте. Каково?

Напоследок скажу, компания, в которой работал мой друг, занималась довольно скучными корпоративными вещами, поэтому регистрировались на сайте далеко не домохозяйки.

Чем кончилась история? Да как обычно. Друг уволился оттуда и унес с собой архив своей почты. Просто по привычки. Ни разу не открывал его, и даже пожалуй не вспомнит, где он лежит. Спустя еще два года сайт той компании обновился (проработав на старой системе почти пять лет)…

Выводы делать лень. Поздно уже. Додумайте сами.

  • dav

    Какие рекомендации дают эксперты? 🙂

    • Gabreal Safm

      Эксперты знают, что к чему и тихо ржут ))). А для профанов я чуть позже отдельную запись напишу )).