Чи слід мене турбувати, якщо мій провайдер хостингу Git зберігає паролі в простому тексті?

0

Я знайшов коментар до Reddit, який передбачає, що ProjectLocker, безкоштовний хост Git, зберігає свої паролі у простому тексті.

Не знаю

  • (а) якщо це правда
  • (b) як це підтвердити або
  • (c) як я повинен хвилюватися, якщо це правильно.

Чи може це означати, що комусь буде тривіально легко потрапити в одне із моїх приватних сховищ коду?

security  hosting  git 
С. Майклз
джерело
Кожен, хто має доступ до бази даних, щоб побачити ваш пароль, будь то хешований чи солений чи ні, ймовірно, має доступ до читання вашого приватного коду в будь-якому випадку.
Phoshi
Фосі: Про це я і думав. Хтось, хто працює в будь-якій хостинговій компанії Git, ймовірно, може зазирнути в код своїх користувачів, якщо захоче.
S. Michaels
Доволі багато. Єдине погане в паролях простого тексту - якщо хтось більш шкідливий потрапляє в базу даних - це може бути погано.
Phoshi
Було б дивовижно, якби хтось міг редагувати заголовок, щоб не висувати помилкових звинувачень щодо ProjectLocker. Дякую!
runako
Заголовок редагується відповідно до запиту. І дякую за відповідь на це питання. Я вдячний слуханням того, хто працює у ProjectLocker. Також я опублікував попереднє запитання, яке не стосується ProjectLocker, щоб спробувати краще зрозуміти технічні аспекти цього питання: superuser.com/questions/46877/…
S. Michaels,

Відповіді:

8

Я працюю в ProjectLocker, і я хотів би додати деяку чіткість до цієї теми. По-перше, щоб відповісти на запитання ОП:

а) Ця чутка не відповідає дійсності. ProjectLocker не зберігає паролі в простому тексті.

b) Ви не можете підтвердити це для ProjectLocker або будь-якого іншого веб-сайту без доступу до їх резервних систем.

в) я б дуже хвилювався. Однак я був би дуже здивований, виявивши, що будь-який із основних хостинг програм Subversion або Git хостинг зберігає паролі простого тексту. Це просто погана ідея.

До речі, весь доступ до Git у ProjectLocker використовує автентифікацію з відкритим ключем та відсутні паролі.

Як зазначають інші, ProjectLocker дозволяє користувачам отримувати втрачені паролі. Ми робимо це, зберігаючи паролі, зашифровані за допомогою двосторонньої функції. (Якщо ви коли-небудь встановите прапорець "Зберегти цю карту для подальшого" на веб-сайті електронної комерції, ваша кредитна картка зберігається таким чином. Те саме стосується сайтів, що підписуються, які періодично виставляють рахунок, наприклад Netflix.) Загалом, ми ставимося до паролів як до чутливих дані, наприклад кредитні картки або артефакти клієнтів (код тощо). Існує досить філософська дискусія щодо того, чи повинні веб-сайти зберігати паролі у доступному форматі, але відгуки наших користувачів вказували, що вони віддають перевагу паролів, які можна отримати.

Щодо публікації на Reddit, я можу сказати, що плакат ніколи не працював у ProjectLocker і не має фактичних знань про наші системи аутентифікації. Плакат, швидше за все, не знайомий з двосторонніми функціями і помилково плутає "оборотні" з "простим текстом".

Нарешті, якщо ви плануєте розмістити свій код у третьої сторони, і ви не довіряєте їх відповідям на подібне запитання, вам точно не слід зберігати там свій код. Якщо ви не довіряєте своєму хосту, ви не повинні використовувати їх взагалі, незалежно від того, як вони зберігають ваш пароль.

runako
джерело
2

Якщо це правда, це ризик для безпеки, оскільки кожен, хто має доступ (або зможе отримати доступ через якісь засоби), зможе прочитати ваш пароль.

Ви завжди можете запитати ProjectLocker, чи коментар до Reddit правдивий. Чи вірите ви, що їх відповідь залежить від вас.

Однак я не знаю, правда це чи ні.

ChrisF
джерело
Так, це стосується того, чи можуть люди, які мають доступ до ProjectLocker, читати мій пароль, а не зовнішні користувачі. Я неправильно зрозумів, звідки береться ризик. Я думаю, що завжди буде ризик, коли працівник хостинг-провайдера зазирне до ваших речей. Якщо це не в простому тексті, то я б вважав, що це складніше, але все-таки можливо. Так, я міг би запитати їх, але я не знаю, яку вагу я б сказав запевнити їх.
S. Michaels
Тоді виникає питання, чи це захищеність простого тексту.
ChrisF
Ви маєте на увазі, що навіть при використанні простого зберігання тексту можуть бути різні рівні безпеки?
S. Michaels
1
Добре, що сам файл / база даних може бути захищений паролем, але я більше замислювався над тим, чи зможе хтось іззовні отримати доступ до бази даних (будь-якими способами). Зважаючи на те, що це було оприлюднено, я б припустив, що хакери зараз намагаються отримати доступ.
ChrisF
3
Простий текстовий пароль, що зберігається на мертвих деревах та закопаний глибоко у Сейпі 106 у немаркованому, заблокованому та охороняється шафі для реєстрації із табличкою, розміщеною на дверях "Остерігайся леопарда", більш безпечний, ніж файл UserPasswords.txt, що зберігається у / var / www / паролі /, наприклад.
Грант
1

Один із способів перевірити, чи це правда, - зробити вигляд, що ви забули свій пароль. Якщо хост повідомляє вам ваш поточний пароль, а не скидає його та надає вам тимчасовий пароль, у вас є доказ того, що він зберігає його в простому тексті.

редагувати : коментар Джошуа правильний: це не остаточний доказ того, що вони зберігають ваш пароль у простому тексті, але це доказ того, що вони зберігають ваш пароль у зворотному форматі.

Найбезпечніше зберігати солений односторонній хеш пароля. Незрозуміло хеш вашої інформації та порівняння її із збереженим хешем, але для всіх, хто хоче переглядати хеш для отримання вашого пароля, недоцільно. Ось чому більшість сайтів надсилають вам дивний випадковий пароль, коли ви його втрачаєте: вони більше не знають, що таке ваш пароль, тому їм доведеться скинути його на те, що вони дійсно знають.

Якщо ProjectLocker зберігає ваш пароль у зворотному форматі, у вас є різні ступеня занепокоєння. Незадоволені працівники - не єдина небезпека; якщо зловмисник зможе отримати дамп бази даних і зможе визначити спосіб декодування паролів (якщо вони можуть отримати дамп БД, вони, ймовірно, можуть отримати вихідний код), у них буде багато паролів. Якщо ви використовуєте ім’я користувача та пароль, які ви більше не використовуєте для цього сайту, найгірше, що вони можуть зробити - це зіпсувати ваш обліковий запис ProjectLocker. Однак багато людей використовують одне і те ж ім’я користувача та подібні паролі для багатьох різних веб-сайтів; якщо це зробити, то зберігання пароля у зворотному форматі наражає на вас велику небезпеку.

На мою думку, якщо пароль, який ви використовуєте в ProjectLocker, не схожий на паролі, які ви використовуєте на інших сайтах, не варто надто хвилюватися. Однак варто було б озвучити скаргу на них, оскільки це набагато ймовірніше, що невеликий проміжок безпеки може призвести до того, що хтось отримає доступ до вашого облікового запису.

OwenP
джерело
Я завжди любив зберігати паролі як хеш, плюс хеш відомого рядка, плюс хеш випадкового числа на основі кількох факторів з даних користувача. Напевно, надмірність, але все ж.
Phoshi
1
Я сподіваюся, що ці "кілька факторів" не містять змінних даних користувачів. Мені б не хотілося, щоб термін дії мого пароля залежав від того, щоб мій номер телефону ніколи не змінювався.
Грант
Ну, я зрозумів, як вам потрібен ваш пароль, щоб насправді змінити будь-які дані, що змінюються користувачем, це було неактуально, тому що я можу їх потім оновити.
Фоші
1
Хороший тест. Насправді вони надсилають
С. Майклс,
4
Я не хотів би сказати, лише якщо ви отримаєте його назад, він зберігається в простому тексті. Вони могли використовувати шифрування замість хешування, що дозволило б їх розшифрувати та надіслати вам. Шифрування все ще дещо захищене під час зберігання в базі даних і є вразливим, коли зловмисник може отримати ключ шифрування для читання паролів. Особисто я віддаю перевагу солоному хешу sha1 прямо зараз (оскільки це легко реалізувати в JavaScript, пароль користувачів ніколи не переходить через провід).
Джошуа
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.