Что бы вы сделали, если бы поняли, что ваш хостинг электронной почты может видеть ваши пароли?

31

В прошлом году мы получили электронное письмо от нашего хостинг-провайдера об одной из наших учетных записей - оно было взломано и использовалось для доставки довольно щедрой помощи от спама.

Видимо, пользователь сбросил свой пароль, изменив свое имя (фамилия - это то, о чем вы, вероятно, можете догадаться в первый раз). Она быстро была взломана в течение недели - ее аккаунт разослал 270 000 спам-писем - и был очень быстро заблокирован.

Пока что ничего особенно необычного. Что происходит. Вы изменяете свои пароли на что-то более безопасное, обучаете пользователя и идете дальше.

Однако что-то беспокоило меня даже больше, чем тот факт, что один из наших аккаунтов был взломан.

Наш хостинг-провайдер, пытаясь быть полезным, фактически указал нам пароль в следующем письме:

введите описание изображения здесь

Я удивлен. Мы должны возобновить наш контракт в ближайшее время - и это похоже на нарушителя.

Насколько часто хостинг-провайдер может узнать действительный пароль, используемый для учетной записи?

Есть ли у большинства хостинг-провайдеров отдел злоупотреблений учетной записью, который имеет больше доступа, чем обычные представители (и может искать пароли, если это необходимо), или эти парни просто не следуют передовым методам, позволяющим любому из своих сотрудников получить доступ к пользователю? пароли? Я думал, что пароли должны быть хешированы и не могут быть восстановлены? Означает ли это, что они хранят все пароли в виде простого текста?

Это даже законно для провайдера хостинга, чтобы иметь возможность обнаружить пароли учетной записи таким способом? Это просто кажется мне невероятным.

Прежде чем мы перейдем к смене провайдера, я хотел бы получить некоторое подтверждение того, что это не является обычной практикой, и что наш следующий хостинг-провайдер, скорее всего, также не настроит все так же.

Ждем ваших мнений по этому вопросу.

security email password best-practices Остин "Опасность" Полномочия
источник
4
Хотя это, очевидно, вызывает серьезную обеспокоенность, для всех, кого вы знаете, это один-два удара телефонного представителя, записывающего новый пароль в тикете (что они никогда не должны делать), и другого представителя, видящего его в примечаниях к билетам. Вы имеете право требовать ответы, но в настоящее время вы не знаете, как был получен пароль.
Андрей Б
1
Я точно знаю, что пользователь установил пароль через веб-интерфейс. Они извлекли это из записей на сервере - никто в офисе не говорил с ними об этом по телефону (кроме того, я считаю, что у этого провайдера в любом случае есть поддержка только по электронной почте)
Остин '' Опасно '' Пауэрс
3
Что бы я сделал? Shrug. Все, что вы делаете в системах, контролируемых кем-то другим, является для них видимым. Если вы не хотите, чтобы кто-то еще имел эту видимость в ваших системах электронной почты, запустите и разместите их сами. Вы можете не одобрять то, что они делают с информацией, которую они по определению имеют, но если по ним нет договорных обязательств не делать этого, вы подписали контракты.
MadHatter поддерживает Монику
19
Хранение незашифрованного пароля плохо (как Time to find a new providerплохо!) - многие люди делают это, но все же: ПЛОХО. Вы посылаете пароль в незашифрованном письме ? ВСЕ МОЕЙ НОПЕ . Это показывает случайное пренебрежение к безопасности. Беги, не ходи, к новому провайдеру со здравым смыслом ...
voretaq7
2
Я хотел бы остановиться на том, что сказал @MadHatter: многие люди здесь сосредоточены на идее «хранения незашифрованных паролей». Простой факт заключается в том, что, если я использую POP / IMAP-сервер, SSH-сервер или что-либо еще, на котором вы можете ввести свой пароль, он может быть настроен для регистрации этого пароля при его вводе, независимо от того, является ли он или нет Я храню вещи в хеше или в открытом виде. Google может видеть ваш пароль, а Dropbox может видеть ваш пароль, а Facebook может видеть ваш пароль и так далее. Вы либо доверяете своему провайдеру, либо сами принимаете его.
Жаворонки

Ответы:

33

Да, интернет-провайдеры и поставщики услуг электронной почты обычно хранят ваш пароль в виде простого текста или в формате, который легко восстановить в виде обычного текста.

Причина этого связана с протоколами аутентификации, используемыми, среди прочего, с PPP (dialup и DSL), RADIUS (dialup, 802.1x и т. Д.) И POP (электронная почта).

Компромисс здесь заключается в том, что если пароли односторонне хешируются в базе данных интернет-провайдера, то единственными протоколами аутентификации, которые можно использовать, являются те, которые передают пароль по сети в виде простого текста. Но если интернет-провайдер хранит действительный пароль, можно использовать более безопасные протоколы аутентификации.

Например, для аутентификации PPP или RADIUS может использоваться CHAP, который защищает данные аутентификации при передаче, но требует, чтобы провайдер проверил простой текстовый пароль. Аналогично с расширением APOP для POP3.

Кроме того, все различные сервисы, которые предлагает интернет-провайдер, используют разные протоколы, и единственный надежный способ обеспечить их аутентификацию в одной и той же базе данных - это сохранить пароль в виде простого текста.

Это не решает вопросы о том, кто из сотрудников ISP имеет доступ к базе данных , и насколько хорошо она защищена . Вы все еще должны задать трудные вопросы о них.

Как вы, наверное, уже поняли, однако, почти неслыханно скомпрометировать базу данных интернет-провайдера, в то время как отдельные пользователи слишком часто подвергаются риску. Вы рискуете в любом случае.

См. Также Неправильно ли я полагать, что пароли никогда не должны восстанавливаться (односторонний хэш)? на нашем родственном сайте IT Security

Майкл Хэмптон
источник
2
APOP в значительной степени мертвый протокол, и MSCHAPv2 не требует, чтобы сервер знал пароль в открытом виде - я не думаю, что у поставщика услуг есть масса причин хранить чистые пароли в эти дни.
Шейн Мэдден
1
@ShaneMadden Вы правы; это CHAP, а не MSCHAP. И да, эти протоколы чертовски близки к смерти, но поставщики услуг, которые существовали вечно, все еще могут использовать их для устаревших услуг.
Майкл Хэмптон
Да, хотя я хотел бы думать, что у большинства поставщиков устаревших услуг есть устаревший LDAP, полный, {crypt}а не пароли в виде открытого текста (подход, использованный теми, на кого я смотрел за кадром в прошлом ). Хотя это может быть просто желаемое за действительное.
Шейн Мэдден
1
Обязательное криптографическое примечание: «Компромисс здесь заключается в том, что если пароли односторонне хешируются в базе данных ISP, то единственными протоколами аутентификации, которые можно использовать, являются те, которые передают пароль по проводам в виде простого текста. Но если ISP хранит действительный пароль, то можно использовать более безопасные протоколы аутентификации ". это вообще не правда. Это верно только потому, что не существует существующих протоколов, позволяющих использовать безопасную схему аутентификации с хешированными паролями.
orlp
1
@nightcracker по сравнению с любым объемом данных, которые вы собираетесь передать (надеюсь, также зашифрованным), небольшой объем аутентификационных данных не должен вас сильно беспокоить
Тобиас Кинцлер,
12

Это, к сожалению, довольно часто встречается у бюджетных хостов, и не так просто, даже с большими хостами. Такие вещи, как cpanel часто требуют вашего простого текстового пароля, чтобы иметь возможность войти в различные службы, как вы, и т. Д.

Единственное, что вы можете сделать, это спросить заранее, хешированы ли пароли.

длинная шея
источник
28
Это очень бюджетный хост ... Я знал, что это слишком хорошо, чтобы быть правдой. Это сводит меня с ума. В любом случае, спасибо за то, что выкинули шею ответом. Сначала я подумал, что это высокий заказ, но вы подошли к случаю. Подобные ответы помогают этому сайту достичь новых высот. Я думал пометить это как лучший ответ, но это шея и шея.
Остин '' Опасность '' Пауэрс
7

Вероятно, они либо хранят пароли в виде простого текста, либо используют какое-то обратимое шифрование.

Как вы уже догадались, это очень плохо.

Либо из-за злонамеренных действий или халатности сотрудников, либо из-за компрометации их систем сторонней организацией использование паролей в виде простого текста создает серьезную опасность - не только для их систем, но и для других систем, в которых люди могли использовать один и тот же пароль.

Ответственное хранение паролей означает использование односторонних хеш-функций вместо обратимого шифрования с добавлением соли (случайных данных) к вводу пользователя для предотвращения использования радужных таблиц .

Если бы я был на вашем месте, я бы задал провайдеру несколько трудных вопросов о том, как именно они хранят пароли и как именно их служба поддержки смогла восстановить пароль. Это может не означать, что они хранят пароли в виде обычного текста, но, возможно, они регистрируют их где-то, когда их изменяют - это также большой риск.

Шейн Мэдден
источник
1
Я задам им несколько вопросов и отправлю сюда, если они скажут что-нибудь интересное. Меня больше всего беспокоит то, что они потенциально могут: 1) прочитать любую из наших электронных писем, 2) прочитать наши электронные письма, посмотреть ссылку на личный почтовый ящик, 3) если пользователь использует один и тот же пароль для рабочей и личной электронной почты, то его личная электронная почта может быть скомпрометированным тоже.
Остин '' Опасность '' Пауэрс
@ Austin''Danger''Powers "потенциально может 1) прочитать любое из наших электронных писем " Любой хост может сделать это - без исключений (при условии, что сам почтовый контент не был зашифрован отправителем - но это другая история).
orlp
Я думал, что это обычно возможно только для поддержки на высшем уровне. Если просмотр паролей является чем-то, что может сделать любой из их представителей службы поддержки, то риск нечестного / скучающего сотрудника, просматривающего наши электронные письма, возрастает.
Остин '' Опасность '' Пауэрс
5

Все остальные ответы великолепны и имеют очень хорошие исторические моменты.

Тем не менее, мы живем в эпоху, когда хранение паролей в виде простого текста вызывает огромные финансовые проблемы и может полностью разрушить бизнес. Отправка паролей в виде обычного текста по небезопасной электронной почте также звучит нелепо в эпоху АНБ, в которую втягиваются все передаваемые данные.

Вы не должны принимать тот факт, что некоторые старые протоколы требуют пароли в виде простого текста. Если бы мы все прекратили принимать такие услуги, вероятно, поставщики услуг что-то с этим сделают и, в конце концов, откажутся от древних технологий.

Некоторые люди могут помнить, что однажды, когда вы захотите сесть на самолет и полететь в другую страну, вы буквально просто войдете в самолет с парковки на улице. Нет безопасности, что так всегда. В настоящее время люди поняли, что необходимы соответствующие меры безопасности, и все аэропорты имеют их на месте.

Я бы переключился на другого провайдера электронной почты. Поиск по «провайдеру защищенной электронной почты» дает много результатов.

В комментариях были хорошие моменты. Вероятно, поиск «провайдера защищенной электронной почты» будет иметь смысл, поскольку все провайдеры электронной почты могут похвастаться своей безопасностью. Тем не менее, я не могу рекомендовать конкретную компанию, и, вероятно, это тоже не очень хорошая идея. Если вы определили конкретную компанию, сначала стоит задать сложный вопрос о безопасности.

алексей
источник
1
Одна из причин, по которой наш последний веб-мастер рекомендовал этого провайдера, заключалась в том, что он должен был быть «более безопасным», чем наш предыдущий. Вскоре я обнаружил , что они не позволили бы некоторым специальным символов в паролях , которые мы используемые , чтобы быть в состоянии использовать, а потом , что их сотрудники имели доступ к нашему паролю. Единственная причина, по которой они «более безопасны», заключается в том, что они заставляют нас соблюдать определенные минимальные требования к длине / сложности пароля - большое дело.
Остин '' Опасность '' Пауэрс
Каждый называет свой сервис «безопасным», но оказывается, что он не всегда может означать то, что, по вашему мнению, означает. Система должна сделать это невозможным. Я работал на интернет-провайдера несколько лет назад, и хотя я мог сбросить пароль электронной почты любого клиента, у меня не было возможности узнать, какой был текущий. Эти ребята теоретически могли читать наши электронные письма без нашего ведома ... Мне не нужно было полагаться на доверие .
Остин '' Опасность '' Пауэрс
1
Применяют ли они требование максимальной длины? Это почти всегда канарейка для хранения незашифрованных паролей.
Мэлс
1
«Поиск по« провайдеру защищенной электронной почты »дает много результатов». - да, и сколько из тех сайтов, которые хранят пароли в виде простого текста, попадут под эти результаты, потому что они считают себя безопасными. Не выбирайте хостинг для службы, которую вы хотите защитить, основываясь на нескольких результатах поиска.
Роб Моир
1
@RobM: Точно. Какой смысл спрашивать у провайдера, считают ли они, что их собственная служба безопасна? 100% из них скажут «да». Выполнение веб-поиска для такого общего термина - пустая трата времени. Это кажется довольно наивный способом приблизиться всем вопрос на самом деле: « Безопасны ли ваши системы Ok, фантастическое Спасибо за разъяснение , что в этом случае мы будем подписаться на ваши услуги без колебаний?... »
Остин «» Danger «» Силы
3

Моя рекомендация - уйти и спросить следующих парней, какова их политика в первую очередь!
Если вы чувствуете себя хорошо, вы можете сказать старым поставщикам, почему вы уходите.

Также, чтобы обратиться к утверждению другого ответа, дни радужных таблиц прошли. Они были заменены мощными графическими процессорами и занимают слишком много места для хранения (двоичные хэши, очевидно, плохо сжимаются; в любом случае вы не будете хранить их в ASCII). Это быстрее (повторно) вычислить хэш на GPU, чем считывать его с диска.

Ожидается, что в зависимости от используемого алгоритма хеширования и графического процессора современный компьютер для взлома паролей будет обрабатывать от 100 до миллиардов хешей в секунду. Согласно этому (что немного устарело от того, что, по его мнению, может сделать компьютер / суперкомпьютер), это означает, что любой пароль из 6 символов может быть взломан за считанные секунды. Таблицы для 7 и 8 хеш-кодов во всех различных алгоритмах (MD5, SHA-1, SHA-256, SHA-512, Blowfish и т. Д.) Будут занимать чрезмерное количество дискового пространства (понимайте, что вам нужно хранить их на SSD). , а не магнитное блюдо, для скорости доступа), и вы можете увидеть, почему атаки на основе словаря с использованием графического процессора будут давать пароли быстрее.

Хорошая статья для тех, кто выходит на сцену: как я стал взломщиком паролей в Ars Technica.

Николас Шэнкс
источник
Если ваш второй абзац действительно верен, это означает, что соление стало бесполезным. Это ваше личное мнение или основано на фактах?
Тобиас Кинцлер
@TobiasKienzler Действительно, соляние с использованием значения, которое хранится в выходных данных, становится довольно бесполезным, но соляние с использованием частного значения остается надежной защитой от атак по словарю. Это не мое личное мнение, это наблюдение (сделанное другими) о текущем поведении взломщиков паролей. Я также немного обновил ответ.
Николас Шенкс
2
С частной ценностью вы имеете в виду перец ? В любом случае, для хорошей функции хеширования требуются следующие свойства: а) они отнимают много времени или даже лучше; б) их можно применять произвольно большое количество раз для увеличения требуемого времени. Так что, хотя я согласен с тем, что устаревший хеш / соль может быть взломан, тот, у которого достаточно высокая сложность, - нет. Связанный: Хеширование пароля добавить соль + перец или достаточно соли?
Тобиас Кинцлер
@TobiasKienzler Да, я не был уверен, насколько конкретно я могу быть с вами :) Очевидно, что сайты должны использовать в bcrypt()наши дни, но это больше о взломе хешей тех, кто этого не делает.
Николас Шенкс
1
Ну, в этом случае я согласен, но плохой / устаревший / слабый хеш (например, MD5) просто непростителен в контексте безопасности.
Тобиас Кинцлер
1

Это случилось со мной!

Несколько лет назад моя личность была скомпрометирована, когда мой хостинг-провайдер (который в то время был и моим почтовым провайдером) попал под угрозу безопасности. Я осознал, что не могу проверить свою электронную почту, потому что мой пароль был сброшен. С контролем моей электронной почты они попытались сбросить мой пароль в Amazon и PayPal. Вы можете догадаться, что было дальше, верно? Мошеннические платежи по кредитным картам!

К счастью, я смог сравнительно быстро выяснить, что происходит, позвонить своему хостинг-провайдеру и тщательно проверить свою личность, несмотря на то, что информация об учетной записи и вопросы безопасности были изменены (и все это за несколько часов). Во время этого разговора представитель службы поддержки смог рассказать мне историю моих паролей, когда они были изменены и на что. Это было все, что мне нужно было услышать, чтобы знать, что мне абсолютно необходимо сменить поставщика.

Нет причин, по которым это должно произойти, наша компания!

У меня были подозрения о тщательности этой компании, когда речь шла о безопасности, о вещах, которые я замечал здесь и там за годы работы с ними. Но я всегда убеждал себя, что это не имеет большого значения или, возможно, я ошибался. Я не ошибся, и вы тоже!

Если бы я действовал, когда впервые подозревал, что они не относятся к безопасности всерьез, этого мини-кошмара никогда бы не было. Чтобы подумать, что может произойти, если ценный корпоративный аккаунт будет взломан? Вы бы легко ушли, если бы они только отправляли СПАМ. Компания, в которой я работал в то время, также использовала этого провайдера, и мы сделали приоритетной задачей - как можно быстрее уйти.

Доверяй своим инстинктам! Не пренебрегайте миграцией из-за лени или потому, что ваша существующая установка «работает нормально». Самая отвратительная часть недосказанных мер по обеспечению безопасности, таких как хранение паролей в открытом тексте, неправильная настройка серверов и т. Д., Заключается в том, что они говорят об общей некомпетентности и / или лени в своей технической культуре, и это культура, которую я не хотел бы, чтобы миссия моей компании была критической. договор на обслуживание где-нибудь рядом.

Мэтт Сурабиан
источник
0

Я вижу альтернативное объяснение, где ваш пароль фактически хэшируется на серверах вашего провайдера.

Поскольку провайдер связался с Вами через день, он, вероятно, (и это предположение) извлек это из журналов сервера, поскольку его сценарий смены пароля передает данные с помощью метода GET.

Это звучит проще, чем у вашего провайдера, имеющего базу данных, полную записей о том, когда, кто и как изменил свой пароль. Вы знаете бритву Оккама ...;)

Пета Ситтек
источник