Frage Was würden Sie tun, wenn Sie feststellen würden, dass Ihr E-Mail-Hosting-Anbieter Ihre Passwörter sehen kann?


Wir haben letztes Jahr eine E-Mail von unserem Hosting-Provider bezüglich eines unserer Accounts erhalten - es wurde kompromittiert und für eine ziemlich großzügige Portion Spam verwendet.

Anscheinend hatte die Benutzerin ihr Passwort auf eine Variante ihres Namens zurückgesetzt (Nachname ist etwas, was man beim ersten Mal wahrscheinlich erraten könnte). Sie wurde innerhalb einer Woche sofort gehackt - ihr Konto schickte eine Flut von 270.000 Spam-E-Mails - und war sehr schnell verstopft.

Bis jetzt nichts besonderes. Das passiert. Sie ändern Ihre Passwörter zu etwas sichererem, erziehen den Benutzer und ziehen weiter.

Aber etwas hat mich beunruhigt sogar mehr als die Tatsache, dass einer unserer Konten kompromittiert worden war.

Unser Hosting-Provider, um tatsächlich hilfreich zu sein zitierte das Passwort zu uns in der folgenden E-Mail:

enter image description here

Ich bin erstaunt. Wir werden unseren Vertrag bald erneuern - und das fühlt sich wie ein Deal-Breaker an.

Wie häufig ist es für einen Hosting-Provider möglich, das tatsächliche Passwort eines Accounts herauszufinden?

Haben die meisten Hosting-Provider eine Account-Missbrauchsabteilung, die mehr Zugriff als Front-Line-Reps hat (und bei Bedarf Passwörter nachschlagen kann), oder sind diese Leute nicht in der Lage Best Practice zu machen? irgendein ihrer Mitarbeiter Zugriff auf Benutzerkennwörter? Ich dachte, Passwörter sollten gehashed und nicht abrufbar sein? Bedeutet das, dass sie alle Passwörter im Klartext speichern?

Ist es gerade? legal für einen Hosting-Provider in der Lage sein, Account-Passwörter auf diese Weise zu entdecken? Es scheint mir so unglaublich.

Bevor wir uns mit dem Wechsel des Anbieters befassen, möchte ich ein wenig beruhigen, dass dies nicht üblich ist und dass unser nächster Hosting-Anbieter wahrscheinlich auch nicht die gleichen Dinge einrichten würde.

Ich freue mich darauf, Ihre Ansichten dazu zu hören.


31
2017-07-19 01:15


Ursprung


Offensichtlich von großer Sorge, für alle, die Sie wissen, ist dies ein Doppelschlag eines Telefonisten, der das neue Passwort in einem Ticket aufzeichnet (was sie nie tun sollten) und ein anderer Vertreter, der es in den Ticketnoten sieht. Sie sind in Ihrem Recht, Antworten zu verlangen, aber wie es aussieht, wissen Sie nicht Wie Das Passwort wurde abgerufen. - Andrew B
Ich weiß in der Tat, dass der Benutzer das Passwort über die Weboberfläche eingestellt hat. Sie haben es aus den Aufzeichnungen auf dem Server gezogen - niemand im Büro hat mit ihnen darüber am Telefon gesprochen (außerdem glaube ich, dass dieser Anbieter nur E-Mail-Unterstützung hat) - Austin ''Danger'' Powers
Was würde ich tun? Zucken. Alles, was du an Systemen machst, die von jemand anderem kontrolliert werden, ist für sie sichtbar.  Wenn Sie nicht möchten, dass jemand anderes diese Transparenz in Ihre E-Mail-Systeme einbringt, führen und hosten Sie sie selbst. Sie mögen nicht billigen, was sie mit den Informationen tun, die sie per definitionem haben, aber wenn es keine vertraglichen Verpflichtungen für sie gibt, dies nicht zu tun, dann haben Sie die Verträge unterschrieben. - MadHatter
Das Speichern eines Klartextpassworts ist schlecht (wie Time to find a new provider schlecht!) - viele Leute machen es aber trotzdem: SCHLECHT. Senden Sie das Passwort in einer unverschlüsselten E-Mail obwohl? ALLES MEINES NOPE. Das zeigt eine gelegentliche Missachtung der Sicherheit. Laufen Sie, gehen Sie nicht mit einem gesunden Menschenverstand zu einem neuen Anbieter ... - voretaq7
Ich möchte weiter ausführen, was @MadHatter gesagt hat: Viele Leute konzentrieren sich auf die Idee, Klartext-Passwörter zu speichern. Die einfache Tatsache ist, dass, wenn ich einen POP / IMAP-Server, einen SSH-Server oder irgendetwas anderes betreibe, in das Sie Ihr Passwort eingeben können, Es kann so konfiguriert werden, dass dieses Passwort beim Eingeben protokolliert wird, egal ob ich Sachen hashed oder im Klartext ablege. Google kann Ihr Passwort sehen und Dropbox kann Ihr Passwort sehen und Facebook kann Ihr Passwort usw. sehen. Sie vertrauen entweder Ihrem Provider oder hosten ihn selbst. - larsks


Antworten:


Ja, es ist für ISPs und E-Mail-Dienstanbieter üblich, dass Sie Ihr Kennwort im Nur-Text-Format oder in einem Format speichern, das leicht in Nur-Text-Format wiederhergestellt werden kann.

Der Grund dafür hat mit der Authentifizierungsprotokolle verwendet unter anderem mit PPP (Einwahl und DSL), RADIUS (Einwahl, 802.1x usw.) und POP (E-Mail).

Der Nachteil hierbei ist, dass, wenn die Passwörter in der Datenbank des ISP in einer Richtung gehackt werden, die einzigen Authentifizierungsprotokolle verwendet werden können, die das Passwort über die Leitung im Klartext übertragen. Wenn der ISP jedoch das tatsächliche Passwort speichert, können sicherere Authentifizierungsprotokolle verwendet werden.

Zum Beispiel könnte die PPP- oder RADIUS-Authentifizierung CHAP verwenden, die die Authentifizierungsdaten während der Übertragung sichert, aber ein einfaches Textkennwort erfordert, das vom ISP gespeichert wird. Ähnlich mit der APOP-Erweiterung zu POP3.

Außerdem verwenden alle verschiedenen Dienste, die ein ISP anbietet, unterschiedliche Protokolle, und die einzig saubere Möglichkeit, sie alle bei der gleichen Datenbank authentifizieren zu lassen, besteht darin, das Passwort im Klartext zu halten.

Dies betrifft nicht die Probleme von Wer unter den Mitarbeitern des ISP hat Zugriff auf die Datenbank, und wie gut ist es gesichertobwohl. Sie sollten immer noch schwierige Fragen zu diesen stellen.

Wie Sie wahrscheinlich schon erfahren haben, ist es fast unerhört, dass die Datenbank eines Internetdienstanbieters kompromittiert wird, während dies für einzelne Benutzer nur allzu häufig kompromittiert wird. Sie haben jedes Risiko.

Siehe auch Ist es falsch zu glauben, dass Passwörter niemals wiederherstellbar sein sollten (Einweg-Hash)? auf unserer Schwesterseite IT Sicherheit


32
2017-07-19 01:27



APOP ist so ziemlich ein totes Protokoll, und MSCHAPv2 braucht den Server nicht, um das Passwort im Klartext zu kennen - ich glaube nicht, dass es für einen Dienstanbieter eine Menge Grund gibt, heutzutage klare Passwörter zu haben. - Shane Madden♦
@ShaneMadden Du hast recht; es ist CHAP, anstatt MSCHAP. Und ja, diese Protokolle sind verdammt kurz vor dem Tod, aber Dienstanbieter, die es schon immer gegeben haben, benutzen sie immer noch für Legacy-Dienste. - Michael Hampton♦
Ja - obwohl ich gerne denken würde, dass mehr von den alten Service Providern ein krasses altes LDAP voll von {crypt} anstelle von Klartext-Passwörtern (der Ansatz, mit dem ich in der Vergangenheit einen Blick hinter die Kulissen geworfen habe). Obwohl das nur Wunschdenken sein könnte. - Shane Madden♦
Obligatorische Kryptographie-Notiz, "Der Kompromiss hier ist, dass, wenn die Passwörter in der Datenbank des ISP unidirektional sind, die einzigen Authentifizierungsprotokolle verwendet werden können, die das Passwort über die Leitung im Klartext übertragen. Aber wenn der ISP das tatsächliche Passwort speichert, dann können sicherere Authentifizierungsprotokolle verwendet werden. " ist im Allgemeinen nicht wahr. Es ist nur wahr, weil es keine gibt bestehender Protokolle, die ein sicheres Authentifizierungsschema mit Hash-Passwörtern ermöglichen. - orlp
@nightcracker im Vergleich zu welcher Menge an Daten, die Sie übertragen werden (auch verschlüsselt, hoffe ich), die kleine Menge an Authentifizierungsdaten sollte Sie nicht wirklich stören - Tobias Kienzler


Dies ist leider ziemlich üblich bei Budget-Hosts und nicht zu vermeiden, sogar bei größeren Hosts. Dinge wie cpanel benötigen häufig Ihr Klartext-Passwort, um sich bei verschiedenen Diensten wie Sie anmelden zu können usw.

Das einzige, was Sie tun können, ist im Voraus zu fragen, ob die Passwörter hashed sind.


12
2017-07-19 01:27



Es ist ein sehr Low-Budget-Host ... Ich wusste, es war zu schön, um wahr zu sein. Das macht mich verrückt. Wie auch immer, danke, dass du dir eine Antwort ausgesucht hast. Zuerst dachte ich, es wäre ein großer Befehl, aber du bist zu dieser Gelegenheit gekommen. Antworten wie diese helfen dieser Seite, neue Höhen zu erreichen. Ich dachte daran, dies als beste Antwort zu markieren, aber es ist Kopf an Kopf. - Austin ''Danger'' Powers


Sie speichern Passwörter entweder im Klartext oder verwenden eine Art reversible Verschlüsselung.

Wie du vermutest, ist das sehr schlecht.

Entweder aufgrund von Böswilligkeit oder Fahrlässigkeit von Mitarbeitern oder einer Kompromittierung ihrer Systeme durch eine externe Partei stellt das Missbrauch der Klartextkennwörter ein ernsthaftes Risiko dar - nicht nur für ihre Systeme, sondern auch für andere Systeme, auf denen die Benutzer möglicherweise dasselbe Kennwort verwendet haben.

Verantwortliches Speichern von Passwörtern bedeutet die Verwendung von Einweg-Hashfunktionen anstelle von reversibler Verschlüsselung, mit a Salz- (zufällige Daten) hinzugefügt, um die Verwendung von Regenbogen-Tische.

Wenn ich in Ihren Schuhen wäre, würde ich dem Anbieter einige Fragen stellen, wie genau Passwörter gespeichert werden und wie genau ihr Support-Mitarbeiter das Passwort abrufen konnte. Dies bedeutet möglicherweise nicht, dass sie die Passwörter im Klartext speichern, aber vielleicht protokollieren sie sie auch irgendwo, wenn sie geändert werden - auch ein großes Risiko.


7
2017-07-19 01:27



Ich werde ihnen ein paar Fragen stellen und hier zurück posten, wenn sie etwas Interessantes sagen. Meine größte Sorge ist, dass sie potentiell 1) eine unserer E-Mails lesen können 2) unsere E-Mails lesen, einen Verweis auf ein persönliches E-Mail-Konto sehen 3) wenn ein Benutzer dasselbe Passwort für geschäftliche und private E-Mails verwendet auch kompromittiert werden. - Austin ''Danger'' Powers
@ Austin''Danger''Power "könnte möglicherweise 1) eine unserer E-Mails lesen"Jeder Host kann das tun - keine Ausnahmen (vorausgesetzt, der Mail-Inhalt selbst wurde nicht vom Absender verschlüsselt - aber das ist eine andere Geschichte). - orlp
Ich dachte, das ist normalerweise nur für Top-Level-Support möglich. Wenn Passwörter angezeigt werden, ist das etwas irgendein von ihren Support-Reps tun können, steigt dann das Risiko, dass ein unehrlicher / gelangweilter Mitarbeiter durch unsere E-Mails stochert. - Austin ''Danger'' Powers


Alle anderen Antworten sind großartig und haben sehr gute historische Punkte.

Wir leben jedoch in dem Alter, in dem das Speichern von Passwörtern im Klartext große finanzielle Probleme verursacht und Unternehmen völlig zerstören kann. Das Versenden von Passwörtern im Klartext über unsichere E-Mails klingt auch im Zeitalter der NSA lächerlich, wenn alle Pass-Through-Daten gesaugt werden.

Sie müssen nicht akzeptieren, dass einige alte Protokolle Passwörter im Klartext benötigen. Wenn wir alle aufhören, solche Dienste zu akzeptieren, würden die Diensteanbieter wahrscheinlich etwas dagegen unternehmen und alte Technologie ablehnen.

Einige Leute können sich daran erinnern, dass Sie einmal, wenn Sie in ein Flugzeug steigen wollen, um in ein anderes Land zu fliegen, buchstäblich vom Parkplatz aus in das Flugzeug steigen würden. Keine Sicherheit was auch immer. Heutzutage haben die Menschen erkannt, dass angemessene Sicherheitsmaßnahmen erforderlich sind und dass alle Flughäfen diese eingerichtet haben.

Ich würde zu einem anderen E-Mail-Anbieter wechseln. Die Suche nach "sicherer E-Mail-Anbieter" liefert viele Ergebnisse.

Es gab einige gute Punkte in den Kommentaren. Wahrscheinlich würde die Suche nach einem "sicheren E-Mail-Anbieter" sehr viel Sinn ergeben, da alle E-Mail-Anbieter sich sicher fühlen würden. Allerdings kann ich eine bestimmte Firma nicht empfehlen und es ist wahrscheinlich auch keine gute Idee, dies zu tun. Wenn Sie ein bestimmtes Unternehmen identifizieren, das eine schwierige Frage zu Sicherheit stellt, ist dies zunächst eine gute Sache.


5
2017-07-19 08:54



Einer der Gründe, warum unser letzter Webmaster diesen Anbieter empfohlen hat, war, weil er "sicherer" sein sollte als unser vorheriger. Ich entdeckte bald, dass sie bestimmte Sonderzeichen in Passwörtern nicht zulassen würden gebraucht um später nutzen zu können, dass ihre Mitarbeiter Zugriff auf unsere Passwörter hatten. Der einzige Grund, warum sie "sicherer" sind, liegt darin, dass sie uns zwingen, bestimmte Mindestanforderungen an die Länge und Komplexität der Passwörter zu erfüllen - eine große Sache. - Austin ''Danger'' Powers
Jeder Anrufe ihr Service "sicher", aber es stellt sich heraus, dass kann nicht immer bedeuten, was Sie denken, dass es bedeutet. Das System sollte es unmöglich machen. Ich habe vor Jahren für einen ISP gearbeitet, und obwohl ich das E-Mail-Passwort eines Kunden zurücksetzen konnte, hatte ich keine Möglichkeit zu sehen, was der aktuelle war. Diese Leute könnten theoretisch unsere E-Mails ohne unser Wissen lesen ... Ich sollte mich nicht darauf verlassen müssen Vertrauen. - Austin ''Danger'' Powers
Erzwingen sie eine maximal Längenanforderung? Das ist fast immer ein Kanarienvogel für Klartext-Passwortspeicherung. - Mels
"Suche auf" sicherer E-Mail-Anbieter "liefert viele Ergebnisse." - Ja, und wie viele dieser Seiten, die Passwörter im Klartext speichern, kommen unter diese Ergebnisse, weil sie sich selbst für sicher halten. Nicht Wählen Sie das Hosting für einen Service aus, den Sie aufgrund einiger Suchergebnisse sicher haben möchten. - Rob Moir
@RobM: Genau. Was nützt es dem Anbieter zu fragen, ob er ihnen glaubt? besitzen Service ist sicher? 100% von ihnen werden "Ja" sagen. Eine Websuche nach einem allgemeinen Begriff wie diesem zu machen, ist totale Zeitverschwendung. Es scheint eine ziemlich naive Art zu sein, das ganze Problem tatsächlich anzugehen: "Sind Ihre Systeme sicher? Ok, fantastisch. Danke, dass du das erklärst. In diesem Fall werden wir Ihre Dienste ohne zu zögern abonnieren." - Austin ''Danger'' Powers


Meine Empfehlung ist, zu gehen und die nächsten Leute zu fragen, was ihre Politik zuerst ist!
Wenn Sie sich gut fühlen, können Sie den alten Anbietern sagen, warum Sie gehen.


Auch um die Aussage einer anderen Antwort zu beantworten, sind die Tage der Regenbogentabellen vergangen. Sie wurden von leistungsstarken GPUs abgelöst und nehmen zu viel Speicherplatz in Anspruch (binäre Hashes werden offensichtlich nicht gut komprimiert, und Sie würden sie sowieso nicht in ASCII speichern). Es ist schneller, den Hash auf einer GPU schneller (neu) zu berechnen als ihn von der Festplatte zu lesen.

Abhängig von dem verwendeten Hash-Algorithmus und der GPU kann erwartet werden, dass ein moderner Computer mit Passwort-Cracking ungefähr 100 Millionen bis eine Milliarde Hashes pro Sekunde durchläuft. Gemäß diese(Das ist etwas veraltet, was ein Computer / Supercomputer für möglich hält), dh jedes 6-stellige Passwort kann innerhalb von Sekunden geknackt werden. Tabellen für 7 & 8 Char-Hashes in all den verschiedenen Algorithmen (MD5, SHA-1, SHA-256, SHA-512, Blowfish, etc.) würden übermäßig viel Speicherplatz verbrauchen (erkennen Sie, dass Sie sie auf einer SSD speichern müssen) , kein magnetischer Plattenteller, für die Zugriffsgeschwindigkeit) und Sie können sehen, warum wörterbuchbasierte Angriffe mit der GPU Passwörter schneller ergeben.

Ein schöner Artikel für diejenigen, die in die Szene kommen, ist Wie ich ein Passwort-Cracker wurde bei Ars Technica.


3
2017-07-19 08:42



Wenn dein zweiter Absatz wirklich wahr ist, würde das bedeuten salzen wurde nutzlos. Ist das Ihre persönliche Meinung oder basieren Sie auf Fakten? - Tobias Kienzler
@TobiasKienzler In der Tat, Salzen mit einem Wert, der in der Ausgabe gespeichert ist, wird ziemlich nutzlos, aber Salzen mit einem privaten Wert bleibt eine brauchbare Verteidigung gegen Wörterbuchangriffe. Dies ist nicht meine persönliche Meinung, es ist eine Beobachtung (von anderen gemacht) über das aktuelle Verhalten von Passwort-Crackern. Ich habe auch die Antwort ein wenig aktualisiert. - Nicholas Shanks
Mit privatem Wert meinst du? Pfeffer? Wie auch immer, die erforderlichen Eigenschaften einer guten Hash-Funktion sind a) sie sind stark zeitaufwendig oder noch besser b) sie können beliebig oft kettenförmig aufgebracht werden, um die benötigte Zeit zu erhöhen. So, während ich dem zustimme veraltet Hash / Salz ist Crack-fähig, eines mit ausreichend erhöhter Komplexität nicht. Verbunden: Passwort Hashing addieren Salz + Pfeffer oder ist Salz genug? - Tobias Kienzler
@TobiasKienzler Ja, ich war mir nicht sicher, wie spezifisch ich bei dir sein könnte :) Offensichtlich sollten die Seiten aber auch verwenden bcrypt() in diesen Tagen, aber es geht mehr darum, die Hashes von denen zu knacken, die das nicht tun. - Nicholas Shanks
Nun, in diesem Fall stimme ich zu, aber ein schlechter / veralteter / schwacher Hash (z. B. MD5) ist in einem sicherheitsrelevanten Kontext einfach unentschuldbar. - Tobias Kienzler


Das ist mir passiert!

Vor einigen Jahren wurde meine Identität kompromittiert, als mein Hosting-Provider (der zu der Zeit auch mein Email-Provider war) eine Sicherheitsverletzung erlitt. Ich wachte auf, weil ich mein Passwort nicht mehr abrufen konnte, weil mein Passwort zurückgesetzt wurde. Mit der Kontrolle meiner E-Mail versuchten sie mein Passwort bei Amazon und PayPal zurückzusetzen. Sie können raten, was als nächstes kam, oder? Betrügerische Kreditkartengebühren!

Glücklicherweise konnte ich relativ schnell herausfinden, was vor sich ging, meinen Hosting-Provider anrufen und meine Identität sorgfältig überprüfen, obwohl Kontoinformationen und Sicherheitsfragen geändert wurden (alles innerhalb von wenigen Stunden). Während dieser Konversation konnte der Kundendienstmitarbeiter mir meinen Passwortverlauf mitteilen, wann er geändert wurde und was.  Das war alles, was ich hören musste, um zu wissen, dass ich unbedingt den Anbieter wechseln musste.

Es gibt keinen Grund, Ihnen zu begegnen, unser Unternehmen!

Ich hatte meinen Verdacht über die Gründlichkeit dieser Firma, wenn es um die Sicherheit ging, Dinge, die ich hier und da in meinen Jahren bemerkt hatte. Aber ich habe mich immer davon überzeugt, dass es keine große Sache war oder vielleicht habe ich mich geirrt.  Ich habe mich nicht geirrt, und du auch nicht! 

Hätte ich gehandelt, als ich zum ersten Mal vermutete, dass sie die Sicherheit nicht ernst nahmen, wäre dieser ganze Mini-Albtraum nie passiert. Überlegen, was passieren könnte, wenn ein wertvolles Firmenkonto kompromittiert wird? Du würdest leicht davonkommen, wenn sie nur SPAM schicken würden. Die Firma, für die ich zu der Zeit arbeitete, nutzte diesen Anbieter ebenfalls und wir haben es uns zur Priorität gemacht, so schnell wie möglich abzuwickeln.

Vertraue deinen Instinkten!  Übergeben Sie nicht das Geld bei der Migration aus Faulheit oder weil Ihre bestehende Einrichtung "gut funktioniert". Der verhängnisvollste Teil von low-hanging Sicherheitslücken wie das Speichern von Passwörtern im Klartext, unsachgemäßer Konfiguration von Servern usw. ist, dass sie zu einer allgemeinen Inkompetenz und / oder Faulheit in ihrer technischen Kultur sprechen, und das ist eine Kultur, die ich nicht die Mission meines Unternehmens kritisch sehen möchte Servicevertrag irgendwo in der Nähe.


1
2017-07-25 21:19





Ich kann eine alternative Erklärung sehen, wo Ihr Passwort tatsächlich auf den Servern Ihres Anbieters gehashed wird.

Als der Provider sich einen Tag später mit Ihnen in Verbindung setzte, zog er es wahrscheinlich (und das ist eine Vermutung) aus den Serverprotokollen heraus, da sein Passwortänderungsskript Daten über die GET-Methode übermittelt.

Es klingt einfacher als Ihr Provider Datenbank voller Datensätze von wann, wer und wie sein Passwort geändert hat. Wissen Sie Ockhams Rasiermesser...;)


0
2017-08-01 13:02