Cosa faresti se ti rendessi conto che il tuo provider di hosting e-mail potrebbe vedere le tue password?

31

L'anno scorso abbiamo ricevuto un'e-mail dal nostro fornitore di servizi di hosting relativa a uno dei nostri account: era stata compromessa e utilizzata per fornire un aiuto piuttosto generoso di spam.

Apparentemente, l'utente aveva reimpostato la sua password su una variazione del suo nome (il cognome è qualcosa che probabilmente si potrebbe immaginare la prima volta.) È stata prontamente hackerata entro una settimana - il suo account ha inviato un diluvio di 270.000 e-mail di spam - ed è stato molto rapidamente bloccata.

Finora, niente di particolarmente insolito. Capita. Cambia le tue password in qualcosa di più sicuro, istruisci l'utente e vai avanti.

Tuttavia, qualcosa mi preoccupava ancora di più del fatto che uno dei nostri conti fosse stato compromesso.

Il nostro provider di hosting, nel tentativo di essere utile, ci ha effettivamente citato la password nella seguente e-mail:

inserisci qui la descrizione dell'immagine

Sono stupito. Dobbiamo rinnovare presto il nostro contratto e questo sembra un rompicapo.

Quanto è comune per un provider di hosting essere in grado di scoprire la password effettiva utilizzata su un account?

La maggior parte dei provider di hosting ha un dipartimento di abuso di account che ha più accesso rispetto ai rappresentanti di prima linea (e può cercare le password se necessario), o questi ragazzi non stanno semplicemente seguendo le migliori pratiche nel rendere possibile a tutto il loro personale di accedere all'utente Le password? Pensavo che le password avrebbero dovuto essere cancellate e non recuperabili? Questo significa che memorizzano le password di tutti in testo semplice?

È persino legale che un provider di hosting sia in grado di scoprire le password degli account in questo modo? Mi sembra davvero incredibile.

Prima di esaminare il cambio di fornitore, vorrei essere rassicurato sul fatto che questa non è una pratica comune e che anche il nostro prossimo fornitore di hosting non avrebbe probabilmente impostato le cose allo stesso modo.

Non vedo l'ora di sentire le vostre opinioni su questo.

security  email  password  best-practices 
Poteri di Austin "Pericolo"
fonte
4
Mentre ovviamente è di grande preoccupazione, per quanto ne sai questo è un pugno di due volte di un rappresentante del telefono che registra la nuova password in un biglietto (cosa che non dovrebbero mai fare) e un altro rappresentante che la vede nelle note del biglietto. Hai il diritto di chiedere risposte, ma per ora non sai come è stata recuperata la password.
Andrew B,
1
So per certo che l'utente ha impostato la password tramite l'interfaccia web. L'hanno estratto dai record sul server, nessuno in ufficio ne ha parlato al telefono (inoltre, credo che questo provider abbia comunque il supporto solo via e-mail)
Austin "Pericolo" Poteri
3
Cosa farei? Scrollata di spalle. Tutto ciò che fai sui sistemi controllati da qualcun altro è visibile a loro. Se non vuoi che qualcun altro abbia questa visibilità nei tuoi sistemi di posta elettronica, eseguili e ospitali tu stesso. Potresti non approvare ciò che fanno con le informazioni che hanno per definizione, ma se non ci sono obblighi contrattuali su di loro per non farlo, bene, hai firmato i contratti.
MadHatter supporta Monica il
19
La memorizzazione di una password in chiaro è cattiva (come Time to find a new providercattiva!) - molte persone lo fanno ma comunque: MALE. Ti stai inviando la password in un'e-mail non crittografata ? TUTTA LA MIA NOPE . Ciò dimostra un disprezzo casuale per la sicurezza. Corri, non camminare, verso un nuovo fornitore con un po 'di buon senso ...
voretaq7,
2
Vorrei approfondire ciò che ha detto @MadHatter: molte persone qui si stanno concentrando sull'idea di "memorizzare password in chiaro". Il semplice fatto è che se sto eseguendo un server POP / IMAP, un server SSH o qualsiasi altra cosa in cui è possibile digitare la password, può essere configurato per accedere a quella password quando la si digita , indipendentemente dal fatto che Sto memorizzando le cose con hash o in chiaro. Google può vedere la tua password e Dropbox può vedere la tua password e Facebook può vedere la tua password e così via. O ti fidi del tuo provider o lo host da solo.
Larks

Risposte:

33

Sì, è comune per gli ISP e i fornitori di servizi di posta elettronica archiviare la password in testo normale o in un formato facilmente recuperabile in testo normale.

La ragione di ciò ha a che fare con i protocolli di autenticazione utilizzati con PPP (dialup e DSL), RADIUS (dialup, 802.1x, ecc.) E POP (email), tra gli altri.

Il compromesso qui è che se le password sono hash unidirezionali nel database dell'ISP, gli unici protocolli di autenticazione che possono essere usati sono quelli che trasmettono la password via cavo in chiaro. Ma se l'ISP memorizza la password effettiva, è possibile utilizzare protocolli di autenticazione più sicuri.

Ad esempio, l'autenticazione PPP o RADIUS potrebbe utilizzare CHAP, che protegge i dati di autenticazione in transito, ma richiede che l'ISP memorizzi una password in testo normale. Allo stesso modo con l'estensione APOP a POP3.

Inoltre, tutti i vari servizi offerti da un ISP utilizzano protocolli diversi e l'unico modo pulito per autenticarli tutti nello stesso database è mantenere la password in chiaro.

Questo non affronta i problemi di chi tra il personale dell'ISP ha accesso al database e quanto sia sicuro , però. Dovresti ancora fare domande difficili su quelli.

Come probabilmente hai imparato ormai, però, è quasi inaudito che il database di un ISP sia compromesso, mentre è fin troppo comune per i singoli utenti essere compromessi. Hai dei rischi in entrambi i modi.

Vedi anche Sbaglio a credere che le password non dovrebbero mai essere recuperabili (hash unidirezionale)? sul nostro sito affiliato Sicurezza IT

Michael Hampton
fonte
2
APOP è praticamente un protocollo morto e MSCHAPv2 non ha bisogno che il server conosca la password in chiaro - Non credo davvero che ci siano un sacco di motivi per cui un fornitore di servizi mantenga password chiare in questi giorni.
Shane Madden
1
@ShaneMadden Hai ragione; è CHAP, piuttosto che MSCHAP. E sì, questi protocolli sono quasi morti, ma i fornitori di servizi che sono in circolazione da sempre potrebbero ancora usarli per i servizi legacy.
Michael Hampton
Sì, anche se mi piacerebbe pensare che molti dei fornitori di servizi legacy abbiano un LDAP crustamente vecchio pieno di {crypt}password piuttosto che di testo in chiaro (l'approccio adottato da quelli che ho visto dietro le quinte in passato ). Anche se potrebbe essere solo un pio desiderio.
Shane Madden
1
Nota di crittografia obbligatoria, "Il compromesso qui è che se le password sono hash unidirezionali nel database dell'ISP, gli unici protocolli di autenticazione che possono essere utilizzati sono quelli che trasmettono la password via cavo in chiaro. Ma se l'ISP memorizza la password effettiva, quindi è possibile utilizzare protocolli di autenticazione più sicuri. " non è generalmente vero. È vero solo perché non esistono protocolli esistenti che consentono uno schema di autenticazione sicuro con password con hash.
orlp
1
@nightcracker rispetto alla quantità di dati che trasferirai (anche crittografata, spero) la piccola quantità di dati di autenticazione non dovrebbe davvero disturbarti così tanto
Tobias Kienzler,
12

Questo è, sfortunatamente, abbastanza comune con gli host di bilancio e non inaudito nemmeno con host più grandi. Cose come cpanel richiedono spesso la tua password in testo normale per poter accedere a vari servizi come te, ecc.

L'unica cosa che puoi fare è chiedere in anticipo se le password sono sottoposte a hash.

collo lungo
fonte
28
È un host con un budget molto basso ... Sapevo che era troppo bello per essere vero. Questo mi sta facendo impazzire. Ad ogni modo, grazie per averti tirato fuori il collo con una risposta. All'inizio ho pensato che fosse un ordine elevato, ma ti sei avvicinato all'occasione. Risposte come questa aiutano questo sito a raggiungere nuove vette. Stavo pensando di contrassegnare questa come la migliore risposta, ma è collo e collo.
Austin '' Danger '' Powers il
7

Probabilmente stanno memorizzando le password in testo semplice o utilizzando una sorta di crittografia reversibile.

Come hai ipotizzato, questo è molto male.

O a causa della malvagità o negligenza dei dipendenti, o di un compromesso dei loro sistemi da parte di una parte esterna, le password di testo normale utilizzate in modo improprio creano un grave rischio - non solo per i loro sistemi, ma per altri sistemi su cui le persone potrebbero aver utilizzato la stessa password.

La memorizzazione responsabile delle password implica l'uso di funzioni di hashing unidirezionali anziché di crittografia reversibile, con a salt (dati casuali) aggiunto all'input dell'utente per impedire l'uso di tabelle arcobaleno .

Se fossi nei tuoi panni, farei al fornitore alcune domande difficili su come, esattamente, memorizzano le password e come, esattamente, il loro rappresentante dell'assistenza è stato in grado di recuperare la password. Ciò potrebbe non significare che memorizzano le password in testo semplice, ma forse le stanno registrando da qualche parte quando vengono modificate, anche un rischio enorme.

Shane Madden
fonte
1
Porrò loro alcune domande e riporterò qui se dicono qualcosa di interessante. La mia più grande preoccupazione è che potenzialmente potrebbero 1) leggere una qualsiasi delle nostre e-mail 2) nella lettura delle nostre e-mail, vedere un riferimento a un account e-mail personale 3) se un utente utilizza la stessa password per lavoro e e-mail personale, quindi la loro e-mail personale potrebbe anche essere compromesso.
Austin '' Danger ''
@ Austin''Pericolo'Potere "potrebbe potenzialmente 1) leggere una qualsiasi delle nostre e-mail " Qualsiasi host può farlo - senza eccezioni (supponendo che il contenuto della stessa posta non sia stato crittografato dal mittente - ma questa è una storia diversa).
orlp
Ho pensato che di solito fosse possibile solo per il supporto di alto livello. Se la visualizzazione delle password è qualcosa che può fare uno dei loro rappresentanti di supporto, aumenta il rischio che un dipendente disonesto / annoiato frugi nelle nostre e-mail.
Austin '' Danger '' entra in
5

Tutte le altre risposte sono fantastiche e hanno ottimi punti storici.

Tuttavia, viviamo nell'era in cui l'archiviazione delle password in testo normale causa enormi problemi finanziari e può distruggere completamente le aziende. Anche l'invio di password in chiaro tramite e-mail non sicure suona ridicolo nell'età in cui NSA succhia tutti i dati di passaggio.

Non è necessario accettare il fatto che alcuni vecchi protocolli richiedono password in testo semplice. Se tutti smettessimo di accettare tali servizi, probabilmente i fornitori di servizi farebbero qualcosa al riguardo e deprecerebbero infine la tecnologia antica.

Alcune persone possono ricordare che una volta quando si desidera salire su un aereo per volare in un altro paese, si entra letteralmente nell'aereo dal parcheggio in strada. Nessuna sicurezza che mai. Al giorno d'oggi, le persone hanno capito che sono necessarie adeguate misure di sicurezza e che tutti gli aeroporti le hanno messe in atto.

Passerei a un altro provider di posta elettronica. La ricerca su "provider di posta elettronica sicuro" produce molti risultati.

C'erano alcuni punti positivi nei commenti. Probabilmente la ricerca di "provider di posta elettronica sicuro" avrebbe molto senso in quanto tutti i provider di posta elettronica si vantano di essere sicuri. Tuttavia, non posso raccomandare una particolare azienda e probabilmente non è una buona idea farlo neanche. Se identifichi una particolare azienda che pone prima domande difficili sulla sicurezza, sarà una buona cosa da fare.

Oleksii
fonte
1
Uno dei motivi per cui il nostro ultimo webmaster ha raccomandato questo provider è perché doveva essere "più sicuro" del nostro precedente. Presto ho scoperto che non avrebbero permettere ad alcuni caratteri speciali nelle password che abbiamo usato per essere in grado di utilizzare, poi più tardi che il loro personale ha avuto accesso a nostre password. L'unica ragione per cui sono "più sicuri" è perché ci costringono a soddisfare determinati requisiti minimi di lunghezza / complessità della password, un grosso problema.
Austin '' Danger ''
Tutti chiamano il loro servizio "sicuro", ma si scopre che non può sempre significare ciò che pensi significhi. Il sistema dovrebbe renderlo impossibile. Ho lavorato per un ISP anni fa e, sebbene potessi ripristinare la password e-mail di qualsiasi cliente, non avevo modo di vedere quale fosse quella corrente. Questi ragazzi potrebbero teoricamente leggere le nostre e-mail a nostra insaputa ... Non dovrei fare affidamento sulla fiducia .
Austin '' Danger ''
1
Applicano un requisito di lunghezza massima ? È quasi sempre un canarino per l'archiviazione di password in chiaro.
Mels
1
"Cerca su" provider di posta elettronica sicuro "produce molti risultati." - sì e quanti di quei siti che memorizzano le password in testo normale verranno visualizzati in base a questi risultati perché si ritengono sicuri. Non scegliere l'hosting per un servizio che desideri essere sicuro sulla base di alcuni risultati di ricerca.
Rob Moir,
1
@RobM: esattamente. A che serve chiedere al fornitore se ritengono che il proprio servizio sia sicuro? Il 100% di loro dirà "sì". Fare una ricerca sul web per un termine generico come quello è una totale perdita di tempo. Sembra un modo piuttosto ingenuo di affrontare l'intero problema in realtà: " I tuoi sistemi sono sicuri? Ok, fantastico. Grazie per averlo chiarito. In tal caso, ci iscriveremo ai tuoi servizi senza esitazione. "
Poteri di Austin "Pericolo"
3

La mia raccomandazione è di andarsene e chiedere ai prossimi ragazzi quali sono le loro politiche prima!
Se ti senti bene, puoi dire ai vecchi fornitori perché te ne vai.

Anche per rispondere alla dichiarazione di un'altra risposta, sono trascorsi i giorni delle tavole arcobaleno. Sono stati sostituiti da GPU ad alta potenza e occupano troppo spazio di archiviazione (gli hash binari ovviamente non si comprimono bene e non li memorizzeresti comunque in ASCII). È più veloce (ri) calcolare l'hash su una GPU che leggerlo dal disco.

A seconda dell'algoritmo di hash utilizzato e della GPU, ci si può aspettare che un moderno computer per decifrare le password passi da circa 100 milioni a un miliardo di hash al secondo. Secondo questo , (che è un po 'datato su ciò che pensa possa fare un computer / supercomputer), ciò significa che qualsiasi password da 6 caratteri può essere decifrata in pochi secondi. Le tabelle per gli hash di caratteri 7 e 8 in tutti i vari algoritmi (MD5, SHA-1, SHA-256, SHA-512, Blowfish, ecc.) Consumerebbero quantità eccessive di spazio su disco (rendersi conto che è necessario memorizzarle su un SSD , non un piatto magnetico, per la velocità di accesso) e puoi capire perché gli attacchi basati su dizionario che utilizzano la GPU genereranno password più rapidamente.

Un bell'articolo per coloro che entrano in scena è Come sono diventato un cracker di password in Ars Technica.

Nicholas Shanks
fonte
Se il tuo secondo paragrafo è veramente vero, ciò significherebbe che la salatura è diventata inutile. È questa la tua opinione personale o basata su fatti?
Tobias Kienzler,
@TobiasKienzler In effetti, il salting usando un valore memorizzato nell'output è reso piuttosto inutile, ma il salting usando un valore privato rimane una valida difesa contro gli attacchi del dizionario. Questa non è la mia opinione personale, è un'osservazione (fatta da altri) sul comportamento attuale dei cracker di password. Ho anche aggiornato un po 'la risposta.
Nicholas Shanks,
2
Con valore privato intendi pepe ? Comunque, le proprietà richieste di una buona funzione di hashing sono a) sono gravemente tempo, o meglio ancora b) possono essere a catena applicata una grande quantità arbitrario di volte per aumentare il tempo necessario. Quindi, mentre concordo sul fatto che un hash / salt obsoleto sia in grado di crack, uno con una complessità sufficientemente aumentata non lo è. Correlati: Hashing password aggiungere sale + pepe o è abbastanza sale?
Tobias Kienzler,
@TobiasKienzler Sì, non ero sicuro di quanto potessi essere specifico con te :) Ovviamente, comunque, i siti dovrebbero usare in bcrypt()questi giorni, ma si tratta più di rompere gli hash di quelli che non lo fanno.
Nicholas Shanks,
1
Bene, in quel caso sono d'accordo, ma un hash cattivo / obsoleto / debole (ad esempio MD5) è semplicemente ingiustificabile in un contesto rilevante per la sicurezza.
Tobias Kienzler,
1

Questo è successo a me!

Alcuni anni fa la mia identità è stata compromessa quando il mio provider di hosting (che all'epoca era anche il mio provider di posta elettronica) ha subito una violazione della sicurezza. Mi sono svegliato per non poter controllare la mia e-mail perché la mia password era stata ripristinata. Con il controllo della mia e-mail hanno tentato di reimpostare la mia password su Amazon e PayPal. Puoi indovinare cosa è successo dopo, giusto? Addebiti fraudolenti con carta di credito!

Fortunatamente sono stato in grado di capire cosa stava succedendo relativamente rapidamente, ottenere il mio provider di hosting al telefono e convalidare scrupolosamente la mia identità nonostante le informazioni sull'account e le domande di sicurezza siano state modificate (nel giro di poche ore). Durante questa conversazione il rappresentante del servizio clienti è stato in grado di dirmi la mia cronologia delle password, quando era stata modificata e in che cosa. Era tutto ciò di cui avevo bisogno per sapere che avevo assolutamente bisogno di cambiare fornitore.

Non c'è motivo per cui dovrebbe accadere a te, la nostra compagnia!

Avevo i miei sospetti sulla completezza di questa azienda quando si trattava di sicurezza, cose che avevo notato qua e là negli anni in cui avevo affrontato queste questioni. Ma mi sono sempre convinto che non fosse un grosso problema o forse mi sbagliavo. Non mi sbagliavo, e nemmeno tu!

Se avessi agito quando sospettavo per la prima volta, non stavano prendendo sul serio la sicurezza che l'intero mini-incubo non sarebbe mai accaduto. Pensare cosa potrebbe accadere in caso di compromissione di un prezioso account aziendale? Saresti facile se avessero inviato solo SPAM. Anche la società per cui lavoravo in quel momento utilizzava questo provider e abbiamo reso prioritario il nostro passaggio al più presto possibile.

Fidati del tuo istinto! Non passare il tempo a migrare per pigrizia o perché la tua configurazione esistente "funziona bene". La parte più dannosa delle sviste di sicurezza basse come l'archiviazione di password in testo chiaro, la configurazione impropria di server, ecc. È che parlano di un'incompetenza generale e / o pigrizia nella loro cultura tecnica, e questa è una cultura che non vorrei che la missione della mia azienda fosse critica contratto di servizio ovunque vicino.

Matt Surabian
fonte
0

Vedo una spiegazione alternativa, in cui la tua password è effettivamente sottoposta a hash sui server del tuo provider.

Quando il provider ti ha contattato solo un giorno dopo, probabilmente (e questa è una supposizione) lo ha estratto dai registri del server poiché il suo script di modifica della password sta inviando i dati tramite il metodo GET.

Sembra più semplice del tuo provider con un database pieno di record di quando, chi e come ha cambiato la sua password. Sai il rasoio di Occam ...;)

Peta Sittek
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.