Den britiske teleudbyder Virgin Media har vakt opsigt, efter en bruger på Twitter brokkede sig over processen med at få nulstillet sin konto.
Brugeren havde glemt sine informationer og måtte igennem en noget aparte nulstillingsprocedure:
Efter en telefonsamtale med kundeservice fik kunden at vide, at koden ville komme med posten.
Den kode, der kom med posten, viste sig oven i købet at være en kode, brugeren kunne genkende. Det er udtryk for, at Virgin Media bruger en yderst ildeset praksis i deres lagring af passwords.
For at kunne sende den oprindelige kode med posten er de nemlig nødt til at lagre den i et format, hvoraf den oprindelige kode kan afledes.
På Twitter svarede Verizon Medias konto, at:
»Det er sikkert at sende den til dig med posten, da det er ulovligt at åbne andres breve.«
Posting it to you is secure, as it's illegal to open someone else's mail. ^JGS
— Virgin Media (@virginmedia) August 17, 2019
Verizons udsendelse af passwords i klartekst går imod almindelig praksis, som er at lagre passwords som saltede »hashes«.
Et passwords hash kan verificeres, men kan ikke uden videre føres tilbage til den oprindelige kode. Det betyder, at angribere, som får angreb til databasen, ikke kan se kodeordene, men det forhindrer også virksomheder i at sende brugeres oprindelige koder til dem, da de ikke har adgang til dem.