Что бы вы сделали, если бы узнали, что ваш поставщик услуг хостинга электронной почты может видеть ваши пароли?
В прошлом году мы получили электронное письмо от нашего хостинг-провайдера, касающееся одной из наших учетных записей - оно было взломано и использовалось для рассылки довольно щедрого спама.
Судя по всему, пользователь сбросил свой пароль на вариант своего имени (фамилия - это то, что вы, вероятно, догадались с первого раза). Она была взломана в течение недели - ее учетная запись разослала поток из 270 000 спам-писем - и была очень быстро заблокирован.
Пока ничего особо необычного. Что происходит. Вы меняете свои пароли на более безопасные, обучаете пользователя и двигаетесь дальше.
Однако что-то меня беспокоило даже больше чем тот факт, что одна из наших учетных записей была взломана.
Наш хостинг-провайдер, стремясь быть полезным, на самом деле процитировал пароль нам по следующему электронному адресу:
Я поражен. Мы должны скоро продлить наш контракт, и это похоже на нарушение сделки.
Насколько часто хостинг-провайдер может узнать фактический пароль, используемый для учетной записи?
Есть ли у большинства хостинг-провайдеров отдел по работе с аккаунтами, у которого больше доступа, чем у непосредственных представителей (и при необходимости они могут искать пароли), или эти ребята просто не следуют передовой практике, чтобы сделать возможным любой своих сотрудников для доступа к паролям пользователей? Я думал, что пароли должны быть хешированы и не могут быть восстановлены? Означает ли это, что все пароли хранятся в виде простого текста?
Это даже законный чтобы хостинг-провайдер мог обнаруживать пароли учетных записей таким образом? Мне это кажется таким невероятным.
Прежде чем мы рассмотрим смену провайдера, я хотел бы заверить вас в том, что это не обычная практика, и что наш следующий хостинг-провайдер, скорее всего, не будет иметь такую же настройку.
Будем рады услышать ваше мнение по этому поводу.
Да, интернет-провайдеры и поставщики услуг электронной почты обычно хранят ваш пароль в виде обычного текста или в формате, который легко восстановить в виде обычного текста.
Причина этого связана с протоколы аутентификации используется с PPP (коммутируемое соединение и DSL), RADIUS (коммутируемое соединение, 802.1x и т. д.) и POP (электронная почта) и др.
Компромисс здесь заключается в том, что если пароли односторонне хешируются в базе данных провайдера, то единственными протоколами аутентификации, которые могут использоваться, являются те, которые передают пароль по сети в виде обычного текста. Но если интернет-провайдер хранит фактический пароль, можно использовать более безопасные протоколы аутентификации.
Например, аутентификация PPP или RADIUS может использовать CHAP, который защищает данные аутентификации при передаче, но требует, чтобы провайдер сохранял пароль в виде простого текста. Аналогично с расширением APOP для POP3.
Кроме того, все различные услуги, которые предлагает интернет-провайдер, используют разные протоколы, и единственный надежный способ аутентифицировать их в одной базе данных - сохранить пароль в виде обычного текста.
Это не решает проблемы кто из сотрудников интернет-провайдера имеет доступ к базе данных, и насколько хорошо это защищено, хотя. Вы все равно должны задавать сложные вопросы об этом.
Однако, как вы, вероятно, уже поняли, то, что база данных интернет-провайдера может быть взломана, почти неслыханно, в то время как для отдельных пользователей это обычное дело. В любом случае у вас есть риск.
Смотрите также Я ошибаюсь, полагая, что пароли никогда не должны восстанавливаться (односторонний хэш)? на нашем сестринском сайте IT безопасность
К сожалению, это довольно часто встречается у бюджетных хостов и нередко даже у больших хостов. Такие вещи, как cpanel, часто нуждаются в вашем текстовом пароле, чтобы иметь возможность входить в различные службы, как вы, и т. Д.
Единственное, что вы можете сделать, - это заранее спросить, хешируются ли пароли.
Вероятно, они либо хранят пароли в виде обычного текста, либо используют какое-то обратимое шифрование.
Как вы уже догадались, это очень плохо.
Неправильное использование текстовых паролей создает серьезный риск не только для их систем, но и для других систем, в которых люди могли использовать тот же пароль, либо из-за злонамеренности или халатности сотрудников, либо из-за взлома их систем посторонней стороной.
Ответственное хранение паролей означает использование функций одностороннего хеширования вместо обратимого шифрования с поваренная соль (случайные данные) добавляются к вводу пользователя, чтобы предотвратить использование радужные столы.
Если бы я был на вашем месте, я бы задал провайдеру несколько сложных вопросов о том, как именно они хранят пароли и как именно их представитель службы поддержки смог получить пароль. Это может не означать, что они хранят пароли в виде обычного текста, но, возможно, они где-то регистрируют их при изменении - также огромный риск.
Все остальные ответы великолепны и имеют очень хорошие исторические моменты.
Однако мы живем в эпоху, когда хранение паролей в виде простого текста вызывает огромные финансовые проблемы и может полностью разрушить бизнес. Отправка паролей в виде обычного текста по незащищенной электронной почте также звучит нелепо в эпоху, когда АНБ втягивает в себя все проходящие данные.
Вы не должны принимать тот факт, что некоторые старые протоколы требуют паролей в виде простого текста. Если мы все перестанем принимать такие услуги, вероятно, поставщики услуг что-то с этим сделают и, наконец, откажутся от древних технологий.
Некоторые люди могут вспомнить, что однажды, когда вы захотели сесть в самолет, чтобы полететь в другую страну, вы буквально просто зашли в самолет с уличной парковки. Никакой безопасности. В настоящее время люди осознали, что необходимы соответствующие меры безопасности, и во всех аэропортах они приняты.
Я бы переключился на другого провайдера электронной почты. Поиск по «провайдеру защищенной электронной почты» дает много результатов.
В комментариях было несколько хороших моментов. Вероятно, поиск по запросу «безопасный поставщик электронной почты» будет иметь смысл, поскольку все поставщики услуг электронной почты могут похвастаться своей безопасностью. Однако я не могу рекомендовать конкретную компанию, и, вероятно, это тоже не лучшая идея. Если вы определите конкретную компанию, которая сначала задает сложный вопрос о безопасности, это будет хорошо.
Моя рекомендация - уйти и сначала спросить следующих ребят, каковы их правила!
Если вы чувствуете себя хорошо, вы можете рассказать старым поставщикам, почему вы уходите.
Также, чтобы обратиться к другому утверждению ответа, дни радужных таблиц прошли. Они были вытеснены мощными графическими процессорами и занимают слишком много места для хранения (двоичные хэши, очевидно, плохо сжимаются; и вы все равно не будете хранить их в ASCII). Быстрее (повторно) вычислить хэш на графическом процессоре, чем прочитать его с диска.
В зависимости от используемого алгоритма хеширования и графического процессора можно ожидать, что современный компьютер для взлома паролей будет обрабатывать от 100 миллионов до миллиарда хэшей в секунду. В соответствии с этот, (что немного устарело в отношении того, что, по его мнению, может сделать компьютер / суперкомпьютер), это означает, что любой пароль из 6 символов может быть взломан за секунды. Таблицы для хэшей из 7 и 8 символов во всех различных алгоритмах (MD5, SHA-1, SHA-256, SHA-512, Blowfish и т. Д.) Будут занимать чрезмерное количество дискового пространства (помните, что вам нужно хранить их на SSD. , а не магнитная пластина, для скорости доступа), и вы можете понять, почему атаки по словарю с использованием графического процессора собираются быстрее выдавать пароли.
Хорошая статья для тех, кто приходит на сцену: Как я стал взломщиком паролей в Ars Technica.
Это случилось со мной!
Несколько лет назад моя личность была скомпрометирована, когда мой хостинг-провайдер (который в то время также был моим провайдером электронной почты) пострадал от нарушения безопасности. Я проснулся от того, что не могу проверить свою электронную почту, потому что мой пароль был изменен. Получив контроль над моей электронной почтой, они попытались сбросить мой пароль в Amazon и PayPal. Вы можете догадаться, что было дальше, верно? Мошеннические списания с кредитной карты!
К счастью, я смог относительно быстро выяснить, что происходит, связаться с моим хостинг-провайдером по телефону и тщательно подтвердить свою личность, несмотря на изменение информации об учетной записи и контрольных вопросов (и все это в течение нескольких часов). Во время этого разговора представитель службы поддержки смог рассказать мне историю моих паролей, когда они были изменены и на какие. Это все, что мне нужно было услышать, чтобы понять, что мне абсолютно необходимо сменить провайдера.
Нет причин, по которым это должно случиться с вами, наша ваша компания!
У меня были подозрения относительно тщательности этой компании, когда дело касалось безопасности, и вещей, которые я заметил кое-где за годы работы с ними. Но я всегда убеждал себя, что в этом нет ничего страшного, а может, я ошибался. Я не ошибся, и вы тоже!
Если бы я действовал тогда, когда впервые заподозрил, что они не относятся серьезно к безопасности, этого мини-кошмара никогда бы не произошло. Подумать только, что могло произойти в случае взлома ценной корпоративной учетной записи? Вы бы легко отделались, если бы они отправляли только СПАМ. Компания, в которой я работал в то время, также использовала этого провайдера, и мы сделали своим приоритетом как можно скорее отказаться от нее.
Доверяй своим инстинктам! Не тратьте деньги на миграцию из-за лени или из-за того, что ваша существующая установка «работает нормально». Самая неприятная часть низко висящих мер безопасности, таких как хранение паролей в открытом виде, неправильная настройка серверов и т. Д., Заключается в том, что они говорят об общей некомпетентности и / или лени в своей технической культуре, и это культура, которую я бы не хотел, чтобы миссия моей компании была критически важной. договор на обслуживание где-нибудь рядом.
Я вижу альтернативное объяснение, где ваш пароль фактически хешируется на серверах вашего провайдера.
Поскольку провайдер связался с вами всего через день, он, вероятно (и это предположение), вытащил его из журналов сервера, поскольку его сценарий изменения пароля отправляет данные через метод GET.
Это звучит проще, чем у вашего провайдера, имеющего базу данных, полную записей о том, когда, кто и как менял свой пароль. Знаешь бритва Оккама...;)