Що б ви зробили, якби зрозумів, що постачальник хостингів електронної пошти може бачити ваші паролі?


31

Ми минулого року отримали електронний лист від нашого хостинг-провайдера стосовно одного з наших облікових записів - це було порушено та використовувалось для надання щедрої допомоги спаму.

Мабуть, користувач скинув свій пароль, щоб змінити її ім’я (прізвище - це те, про що, напевно, можна було здогадатися вперше.) Її негайно зламали протягом тижня - її акаунт розіслав чужий 270 000 спам-листів - і це було дуже швидко заблокований.

Поки нічого особливо незвичайного. Це трапляється. Ви змінюєте свої паролі на щось більш безпечне, навчаєте користувача та рухаєтесь далі.

Однак щось мене хвилювало навіть більше, ніж те, що один із наших рахунків був порушений.

Наш хостинг-провайдер, прагнучи бути корисним, насправді цитував нам пароль у такому електронному листі:

введіть тут опис зображення

Я здивований. Нам належить незабаром поновити контракт - і це виглядає як угода про порушення.

Наскільки часто хостинг-провайдер може дізнатися фактичний пароль, який використовується в обліковому записі?

Чи є у більшості постачальників послуг хостингу відділ зловживання обліковими записами, який має більше доступу, ніж представники прямої лінії (і можуть шукати паролі, якщо це необхідно), або ж ці хлопці просто не дотримуються кращої практики, завдяки чому будь-який їх персонал може отримати доступ до користувача паролі? Я думав, що паролі повинні бути хешировані, а їх не можна отримати? Чи означає це, що вони зберігають паролі кожного у простому тексті?

Чи законним є хостинг-провайдер таким чином, щоб він міг виявляти паролі облікових записів таким чином? Мені це просто здається неймовірним.

Перш ніж ми розберемось із зміною постачальника послуг, я хотів би запевнити, що це не є звичайною практикою, і що у нашого наступного постачальника хостингу також не буде налаштованих речей так само.

З нетерпінням чекаю Вашої думки з цього приводу.


4
Хоча, очевидно, викликає велике занепокоєння, адже всі ви знаєте, це один-два удари телефонної репортера, що записує новий пароль у квитку (що вони ніколи не повинні робити) та ще один представник, який бачить це у примітках про квитки. Ви маєте право вимагати відповіді, але, як це відомо, ви не знаєте, як було отримано пароль.
Ендрю Б

1
Мені відомо, що користувач встановив пароль через веб-інтерфейс. Вони витягнули його із записів на сервері - ніхто в офісі не говорив з ними про це по телефону (до того ж, я вважаю, що у цього провайдера все одно є підтримка лише електронною поштою)
Остін "Небезпека" Повноваження

3
Що б я зробив? Похити плечима. Все, що ви робите в системах, якими керує хтось інший, є видимим для них. Якщо ви не хочете, щоб хтось інший мав цю видимість у ваших системах електронної пошти, запустіть їх і розмістіть їх самі. Ви можете не схвалити, що вони роблять з інформацією, яку вони мають за визначенням, але якщо немає договірних зобов’язань на них, це не робити, добре, ви підписали договори.
MadHatter підтримує Моніку

19
Збереження пароля простого тексту - це погано (як Time to find a new providerпогано!) - багато людей це роблять, але все-таки: BAD. Надіслати вам пароль у незашифрованому електронному листі ? ВСІ МОЇ НОПИ . Це свідчить про випадкове зневага до безпеки. Бігайте, не ходіть, до нового постачальника з певним здоровим глуздом ...
voretaq7

2
Я хотів би розповісти про те, що сказав @MadHatter: Багато людей тут зосереджуються на ідеї "зберігання паролів прямого тексту". Простий факт полягає в тому, що якщо я запускаю POP / IMAP-сервер, SSH-сервер чи будь-що інше, у яке ви можете ввести свій пароль, він може бути налаштований для реєстрації цього пароля під час введення , незалежно від того, чи ні Я зберігаю хеш-речі або в чіткому тексті. Google може бачити ваш пароль, а Dropbox - ваш пароль, а Facebook - ваш пароль тощо. Ви або довіряєте своєму провайдеру, або приймаєте його самостійно.
larsks

Відповіді:


33

Так, звичайно для провайдерів Інтернет-послуг та постачальників послуг електронної пошти зберігати ваш пароль у простому тексті або у форматі, який легко відновити до звичайного тексту.

Причина цього пов'язана з протоколами аутентифікації, які використовуються серед PPP (комутований і DSL), RADIUS (комутований, 802.1x тощо) та POP (електронна пошта).

Тут можливий компроміс: якщо паролі в базі даних провайдера односторонні хешируються, то єдиними протоколами аутентифікації, які можуть бути використані, є ті, які передають пароль по дроту в простому тексті. Але якщо ISP зберігає фактичний пароль, тоді можна використовувати більш безпечні протоколи аутентифікації.

Наприклад, аутентифікація PPP або RADIUS може використовувати CHAP, який захищає дані аутентифікації під час транзиту, але вимагає простого текстового пароля, щоб зберігати Інтернет-провайдером. Аналогічно з розширенням APOP до POP3.

Крім того, всі різні сервіси, які пропонують всі провайдери, використовують різні протоколи, і єдиний чистий спосіб зробити їх автентифікацією до однієї бази даних - це збереження пароля в простому тексті.

Це не стосується питань того, хто з персоналу Інтернет-провайдера має доступ до бази даних , і наскільки добре він захищений . Ви все ще повинні задавати важкі запитання щодо них.

Як ви, напевно, дізналися до цього часу, однак, майже не чутно, щоб база даних провайдера піддавалася компрометації, хоча для окремих користувачів все це занадто часто. Ви ризикуєте в будь-якому випадку.

Дивіться також Чи я помиляюся, що паролі ніколи не підлягають відновленню (хеш-спосіб)? на нашому сестринському сайті IT Security


2
APOP - це майже мертвий протокол, і MSCHAPv2 не потрібен серверу, щоб він чітко знав пароль - я не думаю, що постачальник послуг зберігає чіткі паролі в наші дні.
Шейн Мадден

1
@ShaneMadden Ти маєш рацію; це CHAP, а не MSCHAP. І так, ці протоколи прокляті майже мертвими, але постачальники послуг, які існують назавжди, все ще можуть використовувати їх для застарілих послуг.
Майкл Хемптон

Так, хоча хотілося б подумати, що більшість постачальників застарілих послуг мають вкрай старий LDAP, повний {crypt}паролів, а не чітких текстів (підхід, який використовували ті, на які я розглядав закулісне минуле ). Хоча це може бути просто бажанням подумати.
Шейн Мадден

1
Обов’язкова примітка криптографії: "Тут є компроміс, якщо паролі в базі даних провайдера односторонні хешируються, то єдиними протоколами аутентифікації, які можна використовувати, є ті, які передають пароль через провід у простому тексті. Але якщо ISP зберігає фактичний пароль, тоді можна використовувати більш безпечні протоколи аутентифікації. " взагалі не відповідає дійсності. Це справедливо лише тому, що не існує існуючих протоколів, які дозволяють захистити схему аутентифікації з хешованими паролями.
orlp

1
@nightcracker порівняно з будь-яким обсягом даних, які ви збираєтеся передати (зашифровані також, я сподіваюся), невелика кількість даних про автентифікацію насправді не повинна вас так сильно турбувати
Tobias Kienzler

12

На жаль, це досить часто зустрічається з бюджетними господарями і не є нечуваним навіть для великих хостів. Такі речі, як cpanel, часто потребують вашого простого текстового пароля, щоб мати можливість увійти в різні сервіси, як ви тощо.

Єдине, що ви можете зробити, це запитати заздалегідь, чи паролі хешируються.


28
Це дуже низький бюджет господаря ... Я знав, що це занадто добре, щоб бути правдою. Це мене зводить з розуму. У будь-якому випадку, дякую, що стирчали шию з відповіддю. Спочатку я подумав, що це високий орден, але ти піднявся з цього приводу. Такі відповіді допомагають цьому сайту досягти нових висот. Я думав відзначити це найкращою відповіддю, але це шия та шия.
Остін 'Небезпека' Повноваження

7

Вони, ймовірно, або зберігають паролі у простому тексті, або використовують якесь оборотне шифрування.

Як ви вже здогадалися, це дуже погано.

Або через зловмисність чи недбалість службовців, або компроміс із їхньою системою з боку сторонньої сторони, зловживання звичайними текстовими паролями створює серйозний ризик - не лише для їхніх систем, але й для інших систем люди могли використовувати той самий пароль.

Відповідальне зберігання паролів означає використання односторонніх хеш-функцій замість оборотного шифрування із додаванням солі (випадкових даних) на вхід користувача для запобігання використанню веселкових таблиць .

Якби я був у вашому взутті, я поставив би провайдеру кілька важких запитань про те, як саме вони зберігають паролі і як саме їх представник служби підтримки зміг отримати пароль. Це може не означати, що вони зберігають паролі у простому тексті, але, можливо, вони записують їх десь під час зміни - також величезний ризик.


1
Я поставлю їм кілька запитань і відправлю сюди, якщо вони скажуть щось цікаве. Моя найбільша стурбованість полягає в тому, що вони потенційно можуть 1) прочитати будь-яку нашу електронну пошту; також бути скомпрометованим.
Остін 'Небезпека' Повноваження

@ Austin''Danger''Powers "потенційно може 1) прочитати будь-яку нашу електронну пошту " Будь-який хост може це зробити - без винятку (якщо припустити, що сам вміст пошти не був зашифрований відправником, але це вже інша історія).
orlp

Я думав, що зазвичай це можливо лише для підтримки найвищого рівня. Якщо перегляд паролів - це те, що може зробити будь-який з представників підтримки, тоді ризик нечесного / нудного працівника наштовхуватися на наші електронні листи збільшується.
Остін 'Небезпека' Повноваження

5

Усі інші відповіді чудові і мають дуже хороші історичні моменти.

Однак ми живемо в епоху, коли зберігання паролів у простому тексті спричиняє величезні фінансові проблеми і може повністю знищити бізнес. Надсилання паролів у простому тексті через незахищену електронну пошту також звучить смішно в епоху НСА, висмоктуючи всі пропущені дані в.

Вам не доведеться погоджуватися з тим, що деякі старі протоколи вимагають паролів у простому тексті. Якщо ми всі перестанемо приймати такі послуги, напевно, постачальники послуг щось зробили б і, нарешті, зневажили стародавні технології.

Деякі люди можуть згадати, що одного разу, коли захочете сісти на літак для вильоту в іншу країну, ви буквально просто зайшли б у літак з вуличної стоянки. Ніякої безпеки, що так досі. Сьогодні люди зрозуміли, що потрібні відповідні заходи безпеки, і всі аеропорти встановили їх на місці.

Я б перейшов до іншого постачальника електронної пошти. Пошук на "захищеному постачальнику електронної пошти" дає багато результатів.

У коментарях було кілька хороших моментів. Можливо, пошук "безпечного постачальника електронної пошти" матиме сенс, оскільки всі постачальники електронної пошти можуть похвалитися, що вони захищені. Однак я не можу рекомендувати певну компанію, і це, мабуть, не дуже добре робити. Якщо ви визначите конкретну компанію, яка спочатку задасть важке запитання щодо безпеки, це буде добре.


1
Однією з причин, чому наш останній веб-майстер рекомендував цього провайдера, було те, що він мав бути "більш безпечним", ніж наш попередній. Незабаром я виявив , що вони не дозволили б деяким спеціальним символів в паролі , які ми використовувані , щоб бути в змозі використати, а потім , що їх співробітники мали доступ до нашого паролю. Єдина причина, по якій вони "більш безпечні", полягає в тому, що вони змушують нас дотримуватися певних вимог щодо мінімальної довжини / складності пароля - велика справа.
Остін 'Небезпека' Повноваження

Всі називають свою службу "безпечною", але виявляється, що не завжди може означати те, що ви думаєте, що це означає. Система повинна зробити це неможливим. Я працював у ISP років тому, і хоча я міг скинути пароль електронної пошти будь-якого клієнта, у мене не було можливості зрозуміти, що таке поточний. Ці хлопці теоретично могли читати наші електронні листи без нашого відома ... Мені не слід було покладатися на довіру .
Остін 'Небезпека' Повноваження

1
Чи застосовують вони вимоги щодо максимальної довжини? Це майже завжди канарка для зберігання простого тексту.
Мельс

1
"Пошук на" захищеному постачальнику електронної пошти "дає багато результатів." - так, і скільки з тих сайтів, які зберігають паролі у простому тексті, з’являться під цими результатами, оскільки вони вважають себе безпечними. Не вибирайте хостинг для послуги, яку ви хочете захистити, грунтуючись на кількох результатах пошуку.
Роб Моїр

1
@RobM: Саме так. Яку користь вимагає від постачальника, чи вважає їх власну послугу безпечною? 100% з них скажуть «так». Пошук в Інтернеті за таким загальним терміном - це загальна витрата часу. Здається, досить наївним способом підходити до всього питання насправді: " Чи безпечні ваші системи? Добре, фантастично. Дякую вам за пояснення. У такому випадку ми без вагань підпишемося на ваші послуги ".
Повноваження Остіна "Небезпека"

3

Моя рекомендація - піти і запитати наступних хлопців, яка їх політика в першу чергу!
Якщо ви відчуваєте себе добре, ви можете сказати старим постачальникам, чому ви їдете.


Для вирішення ще однієї заяви відповіді минули дні веселкових столів. Вони були замінені потужними графічними процесорами і займають занадто багато місця для зберігання (двійкові хеші, очевидно, не стискаються добре; і все одно ви не зберігали б їх у ASCII). Швидше (повторно) обчислити хеш на графічному процесорі, ніж прочитати його з диска.

Залежно від використовуваного алгоритму хешу та графічного процесора, можна очікувати, що сучасний комп’ютер з розірванням пароля прокручується приблизно від 100 мільйонів до мільярда хешів в секунду. Відповідно до цього (що трохи датоване тим, що, на його думку, може зробити комп'ютер / суперкомп'ютер), це означає, що будь-який 6-знаковий пароль може бути зламаний за лічені секунди. Таблиці для 7 та 8 хеш-знаків у всіх різних алгоритмах (MD5, SHA-1, SHA-256, SHA-512, Blowfish тощо) витрачали б непомірну кількість дискового простору (розумійте, що вам потрібно зберігати їх на SSD , а не магнітна пластина для швидкості доступу), і ви можете зрозуміти, чому атаки на основі словника за допомогою GPU швидше отримуватимуть паролі.

Приємна стаття для тих, хто виходить на сцену, - Як я став зламачем паролів у Ars Technica.


Якщо ваш другий абзац справді вірний, це означатиме, що засолювання стає марним. Це ваша особиста думка чи заснована на фактах?
Тобіас Кіенцлер

@TobiasKienzler Дійсно, засолювання за допомогою значення, яке зберігається у висновку, виявляється досить марним, але засолювання за допомогою приватного значення залишається життєздатним захистом від атак словника. Це не моя особиста думка, це спостереження (зроблене іншими) щодо поточної поведінки зломщиків паролів. Я також трохи оновив відповідь.
Ніколас Шенкс

2
Під приватним значенням ви маєте на увазі перець ? У будь-якому разі, необхідні властивості хорошої функції хешування є: а) вони затягують багато часу, а ще краще, б) їх можна застосувати ланцюгом довільно велику кількість разів, щоб збільшити необхідний час. Тому, хоча я погоджуюся, що застарілий хеш / сіль може зламатись, той з достатньо підвищеною складністю - ні. Пов’язано: Хешинг пароля додайте сіль + перець чи достатньо солі?
Тобіас Кіенцлер

@TobiasKienzler Так, я не був впевнений, наскільки конкретно я можу бути з тобою :) Очевидно, хоча сайти мають бути використані в bcrypt()наші дні, але це стосується більше того, щоб зламати хеши тих, хто цього не робить.
Ніколас Шенкс

1
Ну і в цьому випадку я згоден, але поганий / застарілий / слабкий хеш (наприклад, MD5) просто недоцільний у контексті, що стосується безпеки.
Тобіас Кіенцлер

1

Це сталося зі мною!

Деякі роки тому моя особистість була порушена, коли мій провайдер хостингу (який в той час був і моїм постачальником електронної пошти) зазнав порушення безпеки. Я прокинувся, не можу перевірити свою електронну пошту, оскільки пароль був скинутий. Під контролем моєї електронної пошти вони намагалися скинути мій пароль на Amazon та PayPal. Ви можете здогадатися, що було далі, правда? Шахрайські збори з кредитної картки!

На щастя, я зміг зрозуміти, що відбувається порівняно швидко, зателефонувати своєму провайдеру хостингу по телефону та ретельно підтвердити свою особу, незважаючи на те, що інформація про облікові записи та питання безпеки були змінені (все це тривало декілька годин). Під час цієї розмови представник служби підтримки клієнтів зміг розповісти мені свою історію паролів, коли вона була змінена та до чого. Це було все, що мені потрібно було почути, щоб знати, що мені абсолютно потрібно змінити постачальників.

Немає жодних причин, щоб це сталося з вами, наша компанія!

У мене були підозри щодо ретельності цієї компанії, коли справа стосувалася безпеки, те, що я помічав тут і там протягом своїх років роботи з ними. Але я завжди переконував себе, що це не велика справа чи, можливо, я помилявся. Я не помилявся, і ви ні!

Якби я діяв, коли я вперше підозрював, що вони не ставляться до безпеки всерйоз, цілий міні-кошмар ніколи б не стався. Подумати, що може статися у випадку зіпсування цінного корпоративного рахунку? Ви будете легко виходити, якби надіслали лише СПАМ. Компанія, в якій я працював у той час, також використовувала цього провайдера, і ми зробили свій пріоритет якнайшвидшим переходом.

Довіряйте своїм інстинктам! Не передавайте долара на міграцію з-за ліні або через те, що ваша існуюча установка "працює нормально". Найбільш грізна частина недоліків безпеки, як зберігання паролів у чистому тексті, неправильне налаштування серверів тощо, - це те, що вони говорять про загальну некомпетентність та / або лінь у технічній культурі, і це культура, яку я не хотів би, щоб місія моєї компанії була критичною договір на обслуговування в будь-якому місці поблизу.


0

Я бачу альтернативне пояснення, коли Ваш пароль насправді хеширується на серверах вашого постачальника.

Оскільки постачальник зв’язався з Вами лише через день, він, ймовірно, (і це припущення) витягнув його з журналів серверів, оскільки його сценарій зміни пароля надсилає дані методом GET.

Це звучить простіше, ніж у вашого провайдера, що має базу даних, повна записів про те, коли, хто і як змінив пароль. Ви знаєте бритву Оккама ...;)

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.