Hversu öruggt er notandanafn þitt og lykilorð með SaferVPN?


UPDATE 10/15: SaferVPN hafa haft samband við okkur til að upplýsa að þeir hafi fjarlægt Google Analytics úr undirléninu app.safervpn.com og eru að vinna að því að fjarlægja netföng alveg frá slóðum þeirra.

UPPDAGA 10/16: SaferVPN gefur frá sér yfirlýsingu um lykilorðsstefnu sína – lestu meira hér að neðan.

UPDATE 10/17: Eftir að hafa farið í eigin rannsókn erum við ánægð með skýringuna sem Amit Bareket, forstjóri SaferVPN, gaf. Lestu meira hér að neðan.

Við‘skammast mín ekki fyrir að viðurkenna að við erum með fullt af VPN áskriftum hér á VPNpro.com. Vísbendingin var alltaf í nafni, hvað sem því líður.

Jæja, í dag kom upp einn af þessum reikningum. SaferVPN sendi okkur tölvupóst til að segja að notandi okkar hefði verið læstur vegna þess að þeir hefðu breytt lykilorðsstefnu sinni og það gerðist svo að lykilorðið okkar gerði það ekki‘t uppfylla nýju kröfurnar. Svo virðist sem ástæðan fyrir þessari stefnubreytingu hafi verið stórfelld Facebook-brot.

öruggur viðskiptavinur

Í fyrstu gerðum við það ekki‘hugsa ekki um neitt – bara smávægileg, ekkert að væla yfir. En skyndilega komst sú skilning á okkur:

Hvernig vita þeir að lykilorðið okkar er ekki‘t uppfylla kröfur þeirra?

Þegar öllu er á botninn hvolft eru lykilorð venjulega geymd sem hass – fastir strengir með dulmálstexti. Það er engin leið að skoða kjötkássa og segja til um hver færibreytur lykilorðsins eru án þess að afkóða strenginn. Getur verið að SaferVPN séu að geyma öll lykilorð notanda í texta? Ef svo er, við‘ert ekki aðdáendur þessarar æfingar og það‘s orðaði það mildilega.

UPDATE 10/16: SaferVPN gefa út yfirlýsingu um lykilorðsstefnu sína

Í gær gerði SaferVPN bloggfærslu þar sem hún útskýrði stefnubreytingu lykilorðs síns og afleiðingar þess. Það ítrekar það sem sagt var í tölvupóstinum:

Sumir notendareikningar eru með lykilorð sem uppfylla nú þegar nýja öryggisstaðla okkar. Aðrir notendareikningar eru læst tímabundið þar til notendur velja nýtt, sterkara lykilorð.

Þessi yfirlýsing staðfestir skilning okkar á aðstæðum og skilur eftir sömu spurningu – hvernig gátu þeir ákvarðað hvaða reikninga eru með fullnægjandi lykilorð og hver ekki?

UPDATE 10/17: Forstjóri SaferVPN býður svar við spurningum um lykilorð okkar

Undanfarna daga höfum við verið í sambandi við forstjóra SaferVPN, Amit Bareket, sem hefur boðið okkur eftirfarandi skýringar:

Við staðfestum lykilorð notandans við innskráningu, þannig að ef það er ekki í samræmi við kröfur um lykilorð þá biðjum við um að velja um sterkara lykilorð (með notendanotkun, sem við geymum EKKI á hverjum tíma).

Í fyrstu vorum við efins um þessa skýringu, því að vitneskja okkar hafði umræddur reikningur verið ónotaður um stund, svo tölvupósturinn virtist vera kominn út í loftið. Að auki benti tungumálið í tölvupóstinum og yfirlýsingunni á að SaferVPN hafi skoðað lykilorðin og lokað fyrir reikninga sem styrkleiki lykilorðsins gerði’t uppfylla kröfur.

Hins vegar, eftir að hafa kannað meira með því að nota nokkra aðra SaferVPN reikninga, gátum við staðfest að skýringin sem SaferVPN gaf er rétt. Í stuttu máli, VPN þjónustuveitandinn lærir styrkleika aðgangsorðs reiknings þíns við innskráningartilraun (eða 5 árangurslausar innskráningartilraunir). Þetta kallar á tölvupóstinn sem við fengum.

Við verðum að þakka SaferVPN fyrir samstarfið og þolinmæðina við að leysa þetta mál!

SaferVPN notandanafnið þitt á Google Analytics?

Eins og þú sérð á skjámyndinni, þá inniheldur slóðin til að núllstilla lykilorðið okkar SaferVPN notandanafnið (sem einnig verður tölvupósturinn þinn).

ÖruggaraVPN notendanafn á Google Analytics

Ef þú fylgir krækjunni á síðuna gætirðu tekið eftir því – eins og við gerðum – að það er Google Analytics rekja spor einhvers á sér. Með öðrum orðum, SaferVPN notandanafn þitt fer beint í Google Analytics.

Tæknilega þýðir þetta að allir sem hafa aðgang að SaferVPN GA reikningnum geta flutt út lista yfir netföng sem notuð eru til að skrá sig í VPN þjónustuna og opna þar alvarlega dós af orma. Hver hefur aðgang að SaferVPN‘er GA reikningur? Hafa markaðsstofur þriðja aðila aðgang að því? Og jafnvel þó þeir geri það ekki‘t, þeirra eigin markaðsstjóri gerir það vissulega. Það‘er nú þegar meira en VPN notendur ættu að vera sáttir við.

Annar hlutur sem þarf að hafa í huga:
Samkvæmt þjónustuskilmálum Google Analytics er notendum óheimilt að senda persónugreinanlegar upplýsingar til Google. SaferVPN virðist brjóta í bága við þessa reglu.

7. Persónuvernd.
Þú munt ekki og mun ekki aðstoða eða leyfa þriðja aðila að senda upplýsingar til Google sem Google gæti notað eða viðurkennt sem persónugreinanlegar upplýsingar.

UPDATE 10/15: SaferVPN staðfestir mál með vefslóðir sínar

Við höfum fengið staðfestingu frá SaferVPN um að þeir hafi fjarlægt Google Analytics úr undirléninu app.safervpn.com. Að auki eru þeir að vinna að því að fjarlægja notendanöfn / netföng frá öllum slóðum þeirra. Meiri kraftur til þeirra!

Niðurstaða: hversu slæmt erum við að tala?

Eftir fram og til baka með SaferVPN sem stóð í nokkra daga höfum við komist að eftirfarandi ályktunum:

  1. Lykilorðsmálið er samskiptamál frekar en öryggismál. Styrkur lykilorðs er ákvarðaður þegar innsláttur er gerður, frekar en með því að skoða einfaldan gagnagrunn.
  2. SaferVPN hafa viðurkennt að slæm framkvæmd er að nota notandanafn (netfang) í slóðum. Þeir eru að laga það eins og við tölum.

Við þökkum SaferVPN fyrir að gefa sér tíma til að hreinsa hlutina og bæta þjónustu þeirra!

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map