TUT.BY хранит пароли в не зашифрованном виде?

Наткнулся тут на одну интересную публикацию и обсуждение этой публикации в фэйсбуке. В публикации говорится о том, что портал TUT.BY выдал следственным органам пароль и все данные пользователя в день запроса. Всё правильно, так поступили бы все организации (провайдеры, мобильные операторы и т.д.). Но один момент у меня, как у разработчика, сразу вызвал вопрос — «Выдал пароль? Как?».

Дело в том, что по стандартам безопасности в сети в базах данных на сайтах пароли пользователей не хранятся, хранятся хэши паролей.

Для справки: хэш-функции — это функция необратимого шифрования, т.е. при регистрации из пароля формируется хэш пароля, который и заносится в базу. Обратно расшифровать из хэша пароль не получиться. В дальнейшем, при авторизации пользователь вводит пароль, который снова обрабатывается такой-же хэш-функцией и сравнивается со значением в базе на сайте.

Для чего все эти сложные манипуляции? — спросите вы. Чтобы, если злоумышленник, получив доступ к базе данных, не узнал реальных паролей пользователей. Тогда он не сможет авторизоваться с помощью пароля пользователя. Да и большинство пользователей используют одинаковый пароль на многих сайтах.

Получается, если TUT.BY может по запросу выдавать пароли пользователей, значит пароли они хранят не используя хэш-функций, а в лучшем случае используя шифрование по ключу. Это значит, что администраторы TUT.BY имеют потенциальную возможность просматривать пароли пользователей. Плюс, если некий хакер взломает их базы данных (или скопирует сотрудник), то он узнает все пароли пользователей.

Считаю это недопустимым для столь уважаемого портала.

Вот, собственно, выдержки из комментариев Юрия Зиссера:

Юрий Зиссер: Если почта на оригинальном Gmail — мы не знаем от нее пароля. Если почта на TUT.BY — мы знаем пароль просто потому, что он единый на все сервисы портала (а не потому, что имеем доступ к почте Гугла).

Юрий Зиссер: «пароли в открытом виде» — это чья-то выдумка. Если бы пароли к сервисам портала хранились в открытом виде, то давно стали бы добычей хакеров и спамеров и лежали бы повсюду в интернете рядом с базами абонентов сотовых операторов.

Юрий Зиссер: «Мы знаем пароли» и «пароли хранятся в открытом виде» — две большие разницы. Первое означает, что их знает пара наших админов. Даже я не знаю паролей и не интересовался ими никогда. Второе означает, что пароли доступны любому пользователю интернета. Или для тебя это одно и то же?

Юрий Зиссер: Мир еще не придумал способов авторизации без хранения пароля.

Бывшего директора TUT.BY можно понять, он не технический специалист и таких моментов может просто не знать — как хранятся пароли пользователей у них на сервере. Но факт, остаётся фактом. Ссылка на все обсуждения.

А вот и небольшое доказательство:

восстановление пароля tut.by

Если воспользоваться функцией восстановления пароля на резервный ящик, то в письме приходит ваш старый пароль.

Выводы делаем сами!