Nahoru
 

Mohu jako administrátor vidět uživatelská hesla?

Dnes už se téměř nikdo nebojí zaregistrovat na web, kde vyplní své jméno, email a heslo. Při kliknutí na tlačítko „Zaregistrovat“ se uvedená data pošlou na server, na kterém stránka běží. Brání programátorům něco, aby si tyto údaje zobrazili a uložili pro nekalé účely?

Odpověď zní: „Kromě zákonu vůbec nic“. Samozřejmě to platí i o krádežích nebo jiných protizákonných aktivitách. U informačních technologií však máme ten problém, že poměrně málo lidí ví, jak fungují. Tím pádem jich pouze hrstka dokáže přijít na nekalé činy druhých. Dokonce v případech, kdy se do nezákonných akcí pustí velice dobrý hacker, není prakticky šance se čehokoliv dopátrat.

Internetový svět roste. Weby přibývají. Vznikají krásné, bezpečné weby, spuštěné za dobrým účelem, ale i „zlé“ stránky, které se snaží vydělávat peníze nebo vás poškodit. Největší ochranou proti „zlým“ webům je nezadávat na nich žádné osobní údaje a v případě nutnosti ověřit, zda stránka disponuje https (více o https se dozvíte v článku : „Dávejte pozor na nebezpečné http“).

Co ale stránky, co se považují za ty „hodné“? Nemůže z ní nějaký velice šikovný hacker stejně ukradnout databázi i s hesly? Může. Avšak nemusí to být ani žádný profesionál, když do té databáze bude mít přístup. A kdo má přístup do databází? Administrátoři. Ti hlavní si mohou prohlížet všechna data, která se na server uložila, emaily, uživatelská jména i hesla. Avšak „hodné“, dobře udělané weby, hesla jednosměrně zašifrují a až poté uloží. Administrátor pak místo hesla ahoj1234 uvidí zahešovaný řetězec, vypadající jako například 6b4e03423667dbb73b6e15454f0eb182164.

Správný web heslo zahešuje

Není však možné takové hešování rozluštit? Teoreticky ano, prakticky ne. Hešování, které se používá je tzv. jednosměrné (nepočítaje archaické weby disponující zastaralou technologií). Jde provádět pouze jedním směrem. Druhým směrem by výpočet trval astronomicky dlouhou dobu. Správnost hesla při zadání se potom kontroluje tak, že uživatel znovu vyplní své heslo, program jej zašifruje stejným algoritmem a porovná s již uloženým řetězcem. Pokud se shodují, zadané heslo bylo správně.

Při brouzdání na webových stránkách se vyplatí rozmyslet, kam zadávat osobní údaje a kam ne. Není totiž problém ukradnout heslo zadané na podezřelou stránku. Je to stejné, jako mít v metru otevřenou kabelku, ze které vyčuhuje peněženka. Odcizení není v souladu se zákonem, avšak to neznamená, že toho neznámý kriminálník nevyužije. Nevystavujte svá hesla na odiv nespolehlivým nebo podezřelým webům.