Μπήκα σήμερα (μετά από αρκετά χρόνια) στη σελίδα online αιτήσεων του Εθνικού Κέντρου Δημόσιας Διοίκησης (ΕΚΔΔ) και φυσικά δεν θυμόμουν username και password. Από το υπενθύμιση του username, είχα τo username μου σε δευτερόλεπτα στο inbox, αλλά όταν επέλεξα υπενθύμιση password ήρθε κάτι στο inbox μου που σίγουρα δεν περίμενα: το password σε plain text! (αντί ενός συνδέσμου για δημιουργία νέου).
Υπάρχουν σελίδες (και μάλιστα σχετικές με Δημόσια Διοίκηση) που αποθηκεύουν τα passwords μας στις ΒΔ τους σε plain text; Προφανώς ναι… Ειδικός στην ασφάλεια δεν είμαι, αλλά η πρακτική αυτή είναι τουλάχιστον επικίνδυνη. Οι administrators της σελίδας (στην καλή περίπτωση) αλλά και οι επίδοξοι hackers (στην κακή περίπτωση) δεν βλέπουν ένα hash του password, αλλά το ίδιο το password!!!
Και το ακόμη καλύτερο για το τέλος… στο footer της σελίδας…