Trust is a weakness
Bắt nguồn từ bài viết A Question of Programming Ethics trên Coding Horror, mấy hôm nay rộ lên câu chuyện về G-Archiver, phần mềm thương mại yêu cầu người sử dụng bỏ ra $30 để backup tài khoản Gmail của mình về máy tính, cũng như… đem mật khẩu và thông tin tài khoản của mình biếu không cho người viết ra phần mềm này.
I was looking for a way to back up my gmail account to a local drive. I’ve accumulated a mass of important information that I would rather not lose. During my search I came across G-Archiver, I figured what the heck I’ll give it a try.
It didn’t really have the functionality I was looking for, but being a programmer myself I used Reflector to take a peek at the source code. What I came across was quite shocking. John Terry, the apparent creator, hard coded his username and password to his gmail account in source code. All right, not the smartest thing in the world to do, but then I noticed that every time a user adds their account to the program to back up their data, it sends and email with their username and password to his personal email box! Having just entered my own information I became concerned.
- Dustin Brooks
Cũng từ đây mà xuất hiện câu hỏi: Làm sao bạn có thể tin tưởng trao thông tin tài khoản nói riêng và thông tin cá nhân nói chung của mình cho ai đó? Một ví dụ phổ biến: trong số n dịch vụ tồn tại trên web, có rất nhiều dịch vụ cung cấp tiện ích “import contact details từ tài khoản Yahoo! và Gmail” - bạn có thể tin cậy chúng được không?
Nhập khẩu “nóng” sổ địa chỉ từ tài khoản Gmail, Yahoo! Mail…:
Đây là một trong những tính năng độc đáo nhất của VinaAnh.com. Nó cho phép bạn sao chép nhanh mọi địa chỉ e-mail hiện có trong tài khoản Gmail, Yahoo! Mail, v.v… vào tài khoản VinaAnh.com mà không cần phải xuất tập tin địa chỉ ra trước rồi mới nhập khẩu được.
Tương tự với tính năng “kết nối” kiểu Zing chat:
Nếu bạn đã có tài khoản VinaGame Passport (dùng để đăng nhập vào các game như Võ Lâm, Phong Thần, Cửu Long, YoBanBe) thì không cần đăng ký và có thể dùng tên và mật khẩu đã có để đăng nhập vào Zing Chat
Ngoài ra, thành viên của các diễn đàn phổ biến (ddth.com ; truongton.net ; hihihehe.com ; vozforums.com ; … xem chi tiết) cũng không cần đăng ký và có thể sử dụng tenaccount@tendiendan và mật khẩu đã có để đăng nhập vào Zing Chat. Ví dụ user1@truongton.net, admin@hihihehe.com
Tiện có tiện, nhưng có đáng không? Ai dám chắc thông tin của bạn không bị lưu lại, và “được” sử dụng để gửi thư rác hay những thứ tệ hơn thế:
“Không thể chấp nhận được”, đó là ý kiến của Giám đốc điều hành một hãng xe nước ngoài đại diện tại Việt Nam. Nguyên nhân là bởi ông này trong 1 ngày đã liên tục nhận được thư từ bạn bè thông báo về việc chuyển blog. Khi nể bạn quá ông cũng thử nghiệm việc chuyển nhưng thật không ngờ, toàn bộ địa chỉ email trong danh sách yahoo của ông đã bị Yobanbe copy và chuyển đi 1 bức thư mà bản thân ông không biết đó là thông tin gì.
Nhẹ là thế, còn nặng hơn thì tài khoản của bạn không còn là của bạn. Người khác có mật khẩu của bạn, và có thể dễ dàng sử dụng nó để làm những việc mà bạn chẳng muốn nghĩ tới.
Đến đây lại nảy sinh một vấn đề nữa: Bạn không chỉ sử dụng một dịch vụ, và thường thì không phải ai cũng đặt các mật khẩu khác nhau cho các tài khoản khác nhau - khó nhớ, và mất thời gian. Mất một tài khoản là mất một loạt. Qua một đêm thức dậy, chợt thấy mình không truy cập được vào bất cứ tài khoản nào nữa, danh tính online của bạn coi như mất.
Vài tháng cho tới nửa năm tớ lại thay mật khẩu một lần, nhưng vì sử dụng nhiều dịch vụ quá nên có khi thay cái này mà quên không thay cái khác - lắm lúc chết cứng tại một trang web yêu cầu đăng nhập. Mật khẩu của tớ thường 13 - 15 ký tự, có số, cả chữ hoa lẫn chữ thường, và gần như ngẫu nhiên, không có ý nghĩa.
Nhiều lúc bấm “Forgot your password”, mở email từ dịch vụ gửi đến, thấy mật khẩu của mình ở đó mà phát hoảng: Hóa ra nó được lưu trong database dưới dạng plaintext, chẳng mã hóa gì hết. Chẳng may database bị lộ thì toi, nghĩ thế là lại lật đật đi thay mật khẩu hàng loạt.
Cũng không nói đâu xa, ngay như WordPress, mật khẩu của người dùng được lưu đơn thuần dưới dạng MD5, không salt siếc gì hết. Thế nên có database là có thể dùng rainbow table để dò được.
One of the steps used by the attacker who compromised Light Blue Touchpaper a few weeks ago was to create an account (which he promoted to administrator; more on that in a future post). I quickly disabled the account, but while doing forensics, I thought it would be interesting to find out the account password. [...]
I asked Google. I found, for example, a genealogy page listing people with the surname “Anthony”, and an advert for a house, signing off “Please Call for showing. Thank you, Anthony”. And indeed, the MD5 hash of “Anthony” was the database entry for the attacker. I had discovered his password.
Còn ví dụ như vBulletin, mật khẩu khi gõ ở client side sẽ được MD5 một lần trước khi submit, sau đó MD5 lần nữa trên server cùng với salt để kiểm tra đúng sai.
Quay lại vấn đề “niềm tin”, tớ thấy mình cũng đặt niềm tin vào không ít nơi, không chỉ ở vấn đề mật khẩu - đơn cử như Gmail. Từ 2005 đến giờ tớ dùng Gmail này như mail chính của mình. Điều gì sẽ xảy ra nếu Google ngưng cung cấp dịch vụ miễn phí và yêu cầu trả phí? Hoặc tệ hơn là ngưng hoàn toàn? Hầu như tất cả các dịch vụ, tài khoản khác khi đăng ký tớ đều lấy Gmail làm địa chỉ email, và mọi người khi mail cho tớ cũng thích gửi đến @gmail.com hơn là @onetruebrace.com. Giống như một “single point of failure” vậy.
A “single point of failure” is, to oversimplify a little, any single piece of equipment that, if it fails, can bring your entire operation to a halt.
Hài hước hơn nữa, ngay cả cái @onetruebrace.com tớ cũng sử dụng Google Apps for your domain thay vì dùng mail server của hosting provider hiện tại.
Bạn thì thế nào? Có đặt niềm tin của mình vào đâu không? Có làm theo đủ các lời khuyên liên quan đến tạo mật khẩu an toàn không?
Bonus: Nếu bạn có một tài khoản Gmail, ngoài địa chỉ @gmail.com bạn có thêm một địa chỉ @googlemail.com nữa.
Bài viết được gửi hôm 11.03.08 · Mang các từ khóa linh tinh
Bài viết liên quan:
htl gửi hôm 11.03.08 lúc 1:27 pm #
Mình tin vào các chương trình lấy d-link mega và fetch link sang mega :”>
c40 gửi hôm 11.03.08 lúc 3:50 pm #
Còn cái blogbackupr.com hồi gì mình định dùng. Nhưng thấy nó vẫn đang beta, mà cũng đòi login và pass của WP nên thôi. Giờ nhiều cái social network đòi login details để import contact lắm. Mà khó chịu nhất là trò invite all people from your contact list. Một ngày nhận được trên dưới 5 cái invitation.
QAD gửi hôm 12.03.08 lúc 10:47 am #
@htl: Cứ tin đi, không mất gì đâu ^^
@c40: Nói chung những dịch vụ như vậy dùng cũng ngại. Còn cái vụ invite all, may mắn là tớ chỉ dính mấy thứ đó ở mail Yahoo, một ngày cũng vài ba cái. Bên Gmail tuyệt nhiên không có.
Egoldviet gửi hôm 14.03.08 lúc 5:43 pm #
Đọc Blog của Quang Anh như kiểu đọc báo Sức khỏe, càng đọc càng lo, vậy mà vẫn phải tiếp tục đọc :(
c40 gửi hôm 15.03.08 lúc 6:34 am #
Gmail tớ vẫn bị (bọn hi5 chết tiệt) :( chả hiểu bọn nó lấy từ đâu ra nữa, hay là lôi cả trong address book của yahoo.
stroveman gửi hôm 15.03.08 lúc 6:45 am #
Chào QAD! Mình muốn bạn chỉ chia sẻ ít kinh nghiệm dùng google reader hoặc bạn có dùng RSS reader software nào không. Thanks.
Nhím gửi hôm 15.03.08 lúc 9:16 am #
Một sự trùng hợp ngẫu nhiên với QAD, tớ cũng tin tưởng hoàn toàn vào Google, giờ mà cái Gmail die hay gì gì nữa thì coi như tiêu :D
QAD gửi hôm 15.03.08 lúc 9:47 am #
@stroveman: Hì, tớ dùng Google Reader cho tiện thôi, cái đó thì cần kinh nghiệm gì :P
viettut gửi hôm 15.03.08 lúc 3:54 pm #
Càng ngày càng phụ thuộc vào Internet, một ngày ko nét thì cảm thấy bứt rứt quá :D