Что бы вы сделали, если бы поняли, что ваш хостинг электронной почты может видеть ваши пароли?

В прошлом году мы получили электронное письмо от нашего хостинг-провайдера об одной из наших учетных записей - оно было взломано и использовалось для доставки довольно щедрой помощи от спама.

Видимо, пользователь сбросил свой пароль, изменив свое имя (фамилия - это то, о чем вы, вероятно, можете догадаться в первый раз). Она быстро была взломана в течение недели - ее аккаунт разослал 270 000 спам-писем - и был очень быстро заблокирован.

Пока что ничего особенно необычного. Что происходит. Вы изменяете свои пароли на что-то более безопасное, обучаете пользователя и идете дальше.

Однако что-то беспокоило меня даже больше, чем тот факт, что один из наших аккаунтов был взломан.

Наш хостинг-провайдер, пытаясь быть полезным, фактически указал нам пароль в следующем письме:

Я удивлен. Мы должны возобновить наш контракт в ближайшее время - и это похоже на нарушителя.

Насколько часто хостинг-провайдер может узнать действительный пароль, используемый для учетной записи?

Есть ли у большинства хостинг-провайдеров отдел злоупотреблений учетной записью, который имеет больше доступа, чем обычные представители (и может искать пароли, если это необходимо), или эти парни просто не следуют передовым методам, позволяющим любому из своих сотрудников получить доступ к пользователю? пароли? Я думал, что пароли должны быть хешированы и не могут быть восстановлены? Означает ли это, что они хранят все пароли в виде простого текста?

Это даже законно для провайдера хостинга, чтобы иметь возможность обнаружить пароли учетной записи таким способом? Это просто кажется мне невероятным.

Прежде чем мы перейдем к смене провайдера, я хотел бы получить некоторое подтверждение того, что это не является обычной практикой, и что наш следующий хостинг-провайдер, скорее всего, также не настроит все так же.

Ждем ваших мнений по этому вопросу.

Да, интернет-провайдеры и поставщики услуг электронной почты обычно хранят ваш пароль в виде простого текста или в формате, который легко восстановить в виде обычного текста.

Причина этого связана с протоколами аутентификации, используемыми, среди прочего, с PPP (dialup и DSL), RADIUS (dialup, 802.1x и т. Д.) И POP (электронная почта).

Компромисс здесь заключается в том, что если пароли односторонне хешируются в базе данных интернет-провайдера, то единственными протоколами аутентификации, которые можно использовать, являются те, которые передают пароль по сети в виде простого текста. Но если интернет-провайдер хранит действительный пароль, можно использовать более безопасные протоколы аутентификации.

Например, для аутентификации PPP или RADIUS может использоваться CHAP, который защищает данные аутентификации при передаче, но требует, чтобы провайдер проверил простой текстовый пароль. Аналогично с расширением APOP для POP3.

Кроме того, все различные сервисы, которые предлагает интернет-провайдер, используют разные протоколы, и единственный надежный способ обеспечить их аутентификацию в одной и той же базе данных - это сохранить пароль в виде простого текста.

Это не решает вопросы о том, кто из сотрудников ISP имеет доступ к базе данных , и насколько хорошо она защищена . Вы все еще должны задать трудные вопросы о них.

Как вы, наверное, уже поняли, однако, почти неслыханно скомпрометировать базу данных интернет-провайдера, в то время как отдельные пользователи слишком часто подвергаются риску. Вы рискуете в любом случае.

См. Также Неправильно ли я полагать, что пароли никогда не должны восстанавливаться (односторонний хэш)? на нашем родственном сайте IT Security

Это, к сожалению, довольно часто встречается у бюджетных хостов, и не так просто, даже с большими хостами. Такие вещи, как cpanel часто требуют вашего простого текстового пароля, чтобы иметь возможность войти в различные службы, как вы, и т. Д.

Единственное, что вы можете сделать, это спросить заранее, хешированы ли пароли.

Вероятно, они либо хранят пароли в виде простого текста, либо используют какое-то обратимое шифрование.

Как вы уже догадались, это очень плохо.

Либо из-за злонамеренных действий или халатности сотрудников, либо из-за компрометации их систем сторонней организацией использование паролей в виде простого текста создает серьезную опасность - не только для их систем, но и для других систем, в которых люди могли использовать один и тот же пароль.

Ответственное хранение паролей означает использование односторонних хеш-функций вместо обратимого шифрования с добавлением соли (случайных данных) к вводу пользователя для предотвращения использования радужных таблиц .

Если бы я был на вашем месте, я бы задал провайдеру несколько трудных вопросов о том, как именно они хранят пароли и как именно их служба поддержки смогла восстановить пароль. Это может не означать, что они хранят пароли в виде обычного текста, но, возможно, они регистрируют их где-то, когда их изменяют - это также большой риск.

Все остальные ответы великолепны и имеют очень хорошие исторические моменты.

Тем не менее, мы живем в эпоху, когда хранение паролей в виде простого текста вызывает огромные финансовые проблемы и может полностью разрушить бизнес. Отправка паролей в виде обычного текста по небезопасной электронной почте также звучит нелепо в эпоху АНБ, в которую втягиваются все передаваемые данные.

Вы не должны принимать тот факт, что некоторые старые протоколы требуют пароли в виде простого текста. Если бы мы все прекратили принимать такие услуги, вероятно, поставщики услуг что-то с этим сделают и, в конце концов, откажутся от древних технологий.

Некоторые люди могут помнить, что однажды, когда вы захотите сесть на самолет и полететь в другую страну, вы буквально просто войдете в самолет с парковки на улице. Нет безопасности, что так всегда. В настоящее время люди поняли, что необходимы соответствующие меры безопасности, и все аэропорты имеют их на месте.

Я бы переключился на другого провайдера электронной почты. Поиск по «провайдеру защищенной электронной почты» дает много результатов.

В комментариях были хорошие моменты. Вероятно, поиск «провайдера защищенной электронной почты» будет иметь смысл, поскольку все провайдеры электронной почты могут похвастаться своей безопасностью. Тем не менее, я не могу рекомендовать конкретную компанию, и, вероятно, это тоже не очень хорошая идея. Если вы определили конкретную компанию, сначала стоит задать сложный вопрос о безопасности.

Моя рекомендация - уйти и спросить следующих парней, какова их политика в первую очередь!
Если вы чувствуете себя хорошо, вы можете сказать старым поставщикам, почему вы уходите.

Также, чтобы обратиться к утверждению другого ответа, дни радужных таблиц прошли. Они были заменены мощными графическими процессорами и занимают слишком много места для хранения (двоичные хэши, очевидно, плохо сжимаются; в любом случае вы не будете хранить их в ASCII). Это быстрее (повторно) вычислить хэш на GPU, чем считывать его с диска.

Ожидается, что в зависимости от используемого алгоритма хеширования и графического процессора современный компьютер для взлома паролей будет обрабатывать от 100 до миллиардов хешей в секунду. Согласно этому (что немного устарело от того, что, по его мнению, может сделать компьютер / суперкомпьютер), это означает, что любой пароль из 6 символов может быть взломан за считанные секунды. Таблицы для 7 и 8 хеш-кодов во всех различных алгоритмах (MD5, SHA-1, SHA-256, SHA-512, Blowfish и т. Д.) Будут занимать чрезмерное количество дискового пространства (понимайте, что вам нужно хранить их на SSD). , а не магнитное блюдо, для скорости доступа), и вы можете увидеть, почему атаки на основе словаря с использованием графического процессора будут давать пароли быстрее.

Хорошая статья для тех, кто выходит на сцену: как я стал взломщиком паролей в Ars Technica.

Это случилось со мной!

Несколько лет назад моя личность была скомпрометирована, когда мой хостинг-провайдер (который в то время был и моим почтовым провайдером) попал под угрозу безопасности. Я осознал, что не могу проверить свою электронную почту, потому что мой пароль был сброшен. С контролем моей электронной почты они попытались сбросить мой пароль в Amazon и PayPal. Вы можете догадаться, что было дальше, верно? Мошеннические платежи по кредитным картам!

К счастью, я смог сравнительно быстро выяснить, что происходит, позвонить своему хостинг-провайдеру и тщательно проверить свою личность, несмотря на то, что информация об учетной записи и вопросы безопасности были изменены (и все это за несколько часов). Во время этого разговора представитель службы поддержки смог рассказать мне историю моих паролей, когда они были изменены и на что. Это было все, что мне нужно было услышать, чтобы знать, что мне абсолютно необходимо сменить поставщика.

Нет причин, по которым это должно произойти, наша компания!

У меня были подозрения о тщательности этой компании, когда речь шла о безопасности, о вещах, которые я замечал здесь и там за годы работы с ними. Но я всегда убеждал себя, что это не имеет большого значения или, возможно, я ошибался. Я не ошибся, и вы тоже!

Если бы я действовал, когда впервые подозревал, что они не относятся к безопасности всерьез, этого мини-кошмара никогда бы не было. Чтобы подумать, что может произойти, если ценный корпоративный аккаунт будет взломан? Вы бы легко ушли, если бы они только отправляли СПАМ. Компания, в которой я работал в то время, также использовала этого провайдера, и мы сделали приоритетной задачей - как можно быстрее уйти.

Доверяй своим инстинктам! Не пренебрегайте миграцией из-за лени или потому, что ваша существующая установка «работает нормально». Самая отвратительная часть недосказанных мер по обеспечению безопасности, таких как хранение паролей в открытом тексте, неправильная настройка серверов и т. Д., Заключается в том, что они говорят об общей некомпетентности и / или лени в своей технической культуре, и это культура, которую я не хотел бы, чтобы миссия моей компании была критической. договор на обслуживание где-нибудь рядом.

Я вижу альтернативное объяснение, где ваш пароль фактически хэшируется на серверах вашего провайдера.

Поскольку провайдер связался с Вами через день, он, вероятно, (и это предположение) извлек это из журналов сервера, поскольку его сценарий смены пароля передает данные с помощью метода GET.

Это звучит проще, чем у вашего провайдера, имеющего базу данных, полную записей о том, когда, кто и как изменил свой пароль. Вы знаете бритву Оккама ...;)