O que você faria se percebesse que seu provedor de hospedagem de e-mail poderia ver suas senhas?

31

No ano passado, recebemos um e-mail do nosso provedor de hospedagem referente a uma de nossas contas - ela havia sido comprometida e usada para fornecer uma porção bastante generosa de spam.

Aparentemente, o usuário redefiniu sua senha para uma variação de seu nome (o sobrenome é algo que você provavelmente poderia adivinhar pela primeira vez). bloqueado.

Até agora, nada de incomum. Isso acontece. Você altera suas senhas para algo mais seguro, educa o usuário e segue em frente.

No entanto, algo me preocupou ainda mais do que o fato de uma de nossas contas ter sido comprometida.

Nosso provedor de hospedagem, em um esforço para ser útil, na verdade citou a senha para nós no seguinte email:

insira a descrição da imagem aqui

Estou surpreso. Devemos renovar nosso contrato em breve - e isso parece um desastre.

Quão comum é para um provedor de hospedagem descobrir a senha real usada em uma conta?

A maioria dos provedores de hospedagem possui um departamento de abuso de conta que tem mais acesso do que os representantes da linha de frente (e pode procurar senhas, se necessário), ou esses funcionários simplesmente não seguem as práticas recomendadas para possibilitar que qualquer uma das suas equipes acesse o usuário senhas? Eu pensei que as senhas deveriam ser hash e não recuperáveis? Isso significa que eles armazenam as senhas de todos em texto simples?

É legal para um provedor de hospedagem descobrir senhas de contas dessa maneira? Parece tão incrível para mim.

Antes de analisarmos a mudança de provedor, gostaria de ter certeza de que isso não é uma prática comum e que nosso próximo provedor de hospedagem provavelmente também não terá as coisas configuradas da mesma maneira.

Ansioso para ouvir suas opiniões sobre isso.

security email password best-practices Austin '' Perigo '' Poderes
fonte
4
Embora obviamente seja uma grande preocupação, pelo que você sabe, é um toque de um representante de telefone gravando a nova senha em um ticket (o que eles nunca devem fazer) e outro representante vendo-o nas notas do ticket. Você tem o direito de exigir respostas, mas, como está, não sabe como a senha foi recuperada.
Andrew B
11
Sei que o usuário definiu a senha através da interface da web. Eles o retiraram dos registros no servidor - ninguém no escritório falou com eles sobre isso por telefone (além disso, acredito que esse provedor tenha suporte apenas por e-mail de qualquer maneira)
Austin '' Danger '' Powers
3
O que eu faria? Dar de ombros. Tudo o que você faz em sistemas controlados por outra pessoa é visível para eles. Se você não quiser que outra pessoa tenha essa visibilidade em seus sistemas de email, execute e hospede-os. Você pode não aprovar o que eles fazem com as informações que eles têm por definição, mas se não houver nenhuma obrigação contratual deles de não fazê-lo, bem, você assinou os contratos.
MadHatter apoia Monica
19
O armazenamento de uma senha de texto sem formatação é ruim (como Time to find a new providerruim!) - muitas pessoas fazem isso, mas ainda assim: MAU. Enviando a você a senha em um e-mail não criptografado ? TODO MEU NOPE . Isso mostra um desrespeito casual à segurança. Executar, não andar, para um novo provedor com algum senso comum ...
voretaq7
2
Gostaria de expandir o que o @MadHatter disse: Muitas pessoas aqui estão se concentrando na idéia de "armazenar senhas em texto simples". O simples fato é que, se eu estiver executando um servidor POP / IMAP, um servidor SSH ou qualquer outra coisa na qual você possa digitar sua senha, ele poderá ser configurado para registrar essa senha quando você digitar , independentemente de estar ou não Estou armazenando coisas com hash ou em texto não criptografado. O Google pode ver sua senha e o Dropbox pode ver sua senha e o Facebook pode ver sua senha e assim por diante. Você confia no seu provedor ou hospeda você mesmo.
Larsks

Respostas:

33

Sim, é comum que os ISPs e os provedores de serviços de email armazenem sua senha em texto sem formatação ou em um formato que seja facilmente recuperável em texto sem formatação.

O motivo disso está relacionado aos protocolos de autenticação usados ​​com PPP (discagem e DSL), RADIUS (discagem, 802.1x etc.) e POP (email), entre outros.

A desvantagem aqui é que, se as senhas tiverem um hash unidirecional no banco de dados do ISP, os únicos protocolos de autenticação que podem ser usados ​​são aqueles que transmitem a senha pela conexão em texto sem formatação. Mas se o ISP armazena a senha real, protocolos de autenticação mais seguros podem ser usados.

Por exemplo, a autenticação PPP ou RADIUS pode usar o CHAP, que protege os dados de autenticação em trânsito, mas exige que uma senha de texto sem formatação seja armazenada pelo ISP. Da mesma forma com a extensão APOP para POP3.

Além disso, todos os vários serviços oferecidos por um ISP usam protocolos diferentes, e a única maneira limpa de autenticar todos eles no mesmo banco de dados é manter a senha em texto sem formatação.

Isso não aborda os problemas de quem entre os funcionários do ISP tem acesso ao banco de dados , e quão bem ele está protegido . Você ainda deve fazer perguntas difíceis sobre elas.

Como você provavelmente já aprendeu até agora, no entanto, é quase inédito o comprometimento do banco de dados de um provedor de serviços de Internet, enquanto é muito comum que usuários individuais sejam comprometidos. Você tem risco de qualquer maneira.

Veja também Estou errado em acreditar que as senhas nunca devem ser recuperáveis ​​(hash unidirecional)? no site irmão Segurança de TI

Michael Hampton
fonte
2
O APOP é praticamente um protocolo inoperante, e o MSCHAPv2 não precisa que o servidor saiba a senha de forma clara - eu realmente não acho que haja muitas razões para um provedor de serviços manter senhas claras nos dias de hoje.
Shane Madden
11
@ShaneMadden Você está certo; é CHAP, em vez de MSCHAP. E sim, esses protocolos estão quase mortos, mas os provedores de serviços que existem há muito tempo ainda podem usá-los para serviços herdados.
Michael Hampton
Sim - embora eu gostaria de pensar que mais provedores de serviços herdados têm um LDAP antigo e cheio de {crypt}senhas de texto não criptografado (a abordagem adotada por quem eu já vi nos bastidores no passado) ) Embora isso possa ser apenas uma ilusão.
Shane Madden
11
Nota obrigatória sobre criptografia: "A desvantagem aqui é que, se as senhas forem unidimensionais no banco de dados do ISP, os únicos protocolos de autenticação que podem ser usados ​​são aqueles que transmitem a senha pela conexão em texto sem formatação. Mas se o ISP armazena a senha real, então protocolos de autenticação mais seguros podem ser usados. " geralmente não é verdade. Só é verdade porque não existem protocolos existentes que permitam um esquema de autenticação segura com senhas com hash.
orlp
11
@nightcracker comparação com qualquer quantidade de dados que você está indo para a transferência (criptografada bem, espero) a pequena quantidade de dados de autenticação realmente não deve incomodá-lo muito
Tobias KIENZLER
12

Infelizmente, isso é bastante comum com hosts de orçamento e não é inédito, mesmo com hosts maiores. Coisas como o cpanel frequentemente precisam da sua senha de texto sem formatação para poder efetuar login em vários serviços como você, etc.

A única coisa que você pode fazer é perguntar antecipadamente se as senhas estão com hash.

pescoço longo
fonte
28
É um anfitrião de orçamento muito baixo ... Eu sabia que era bom demais para ser verdade. Isso está me deixando louco de girafa. De qualquer forma, obrigado por esticar o pescoço com uma resposta. No começo, pensei que era uma tarefa difícil, mas você se levantou para a ocasião. Respostas como essa ajudam este site a alcançar novos patamares. Eu estava pensando em marcar isso como a melhor resposta, mas é pescoço e pescoço.
Austin '' Danger '' Powers
7

Eles provavelmente armazenam senhas em texto simples ou usam algum tipo de criptografia reversível.

Como você supôs, isso é muito ruim.

Devido a malícia ou negligência dos funcionários ou a um comprometimento de seus sistemas por terceiros, as senhas de texto sem formatação que são usadas indevidamente criam um risco sério - não apenas para seus sistemas, mas para outros sistemas em que as pessoas podem ter usado a mesma senha.

Armazenamento responsável de senhas significa o uso de funções de hash unidirecional em vez de criptografia reversível, com um salt (dados aleatórios) adicionado à entrada do usuário para impedir o uso de tabelas arco-íris .

Se eu estivesse no seu lugar, perguntaria ao provedor algumas perguntas difíceis sobre como, exatamente, eles armazenam senhas e como, exatamente, seu representante de suporte conseguiu recuperar a senha. Isso pode não significar que eles armazenam as senhas em texto sem formatação, mas talvez elas estejam sendo registradas em algum lugar quando alteradas - também um risco enorme.

Shane Madden
fonte
11
Vou fazer algumas perguntas e postar aqui se eles disserem algo interessante. Minha maior preocupação é que eles possam 1) ler qualquer um de nossos e-mails 2) ao ler nossos e-mails, ver uma referência a uma conta de e-mail pessoal 3) se um usuário usar a mesma senha para trabalho e e-mail pessoal, o e-mail pessoal poderá ser comprometido também.
Austin '' Danger '' Powers
@ Austin''Danger''Powers "poderia potencialmente 1) ler qualquer um de nossos e-mails " Qualquer host pode fazer isso - sem exceções (supondo que o conteúdo do e-mail não tenha sido criptografado pelo remetente - mas essa é uma história diferente).
orlp
Eu pensei que isso geralmente é possível apenas para suporte de nível superior. Se a visualização de senhas é algo que qualquer um de seus representantes de suporte pode fazer, o risco de um funcionário desonesto / entediado vasculhar nossos e-mails aumenta.
Austin '' Danger '' Powers
5

Todas as outras respostas são ótimas e têm muito bons pontos históricos.

No entanto, vivemos na época em que o armazenamento de senhas em texto sem formatação causa enormes problemas financeiros e pode destruir completamente as empresas. O envio de senhas em texto sem formatação por e-mail inseguro também parece ridículo na era da NSA sugando todos os dados de passagem.

Você não precisa aceitar o fato de que alguns protocolos antigos exigem senhas em texto sem formatação. Se todos nós parássemos de aceitar esses serviços, provavelmente os provedores de serviços fariam algo a respeito e finalmente depreciariam a tecnologia antiga.

Algumas pessoas se lembram de que, uma vez, quando você quiser embarcar em um avião para voar para outro país, você literalmente entrará no avião a partir do estacionamento na rua. Sem segurança, como sempre. Atualmente, as pessoas percebem que são necessárias medidas de segurança apropriadas e que todos os aeroportos as adotam.

Eu mudaria para outro provedor de email. A pesquisa no "provedor de email seguro" gera muitos resultados.

Houve alguns bons pontos nos comentários. Provavelmente, procurar "provedor de email seguro" faria muito sentido, pois todos os provedores de email se gabariam de serem seguros. No entanto, não posso recomendar uma empresa específica e provavelmente não é uma boa ideia fazer isso. Se você identificar uma empresa em particular, fazer perguntas difíceis sobre segurança primeiro será uma boa coisa a fazer.

oleksii
fonte
11
Uma das razões pelas quais nosso último webmaster recomendou esse provedor foi porque ele deveria ser "mais seguro" do que o anterior. Logo descobri que eles não permitiam certos caracteres especiais nas senhas que costumávamos usar, e depois que sua equipe teve acesso às nossas senhas. A única razão pela qual eles são "mais seguros" é porque nos forçam a atender a certos requisitos mínimos de comprimento / complexidade de senha - grande coisa.
Austin '' Danger '' Powers
Todo mundo chama seu serviço de "seguro", mas acontece que nem sempre pode significar o que você pensa que significa. O sistema deve tornar isso impossível. Eu trabalhei para um ISP anos atrás e, embora pudesse redefinir a senha de e-mail de qualquer cliente, não tinha como ver qual era a atual. Esses caras poderiam teoricamente ler nossos e-mails sem o nosso conhecimento ... Eu não deveria confiar na confiança .
Austin '' Danger '' Powers
11
Eles impõem um requisito de comprimento máximo ? Isso quase sempre é um canário para armazenamento de senha em texto sem formatação.
Mels
11
A "pesquisa no" provedor de e-mail seguro "produz muitos resultados". - sim e quantos desses sites que armazenam senhas em texto sem formatação aparecerão sob esses resultados porque eles acreditam que são seguros. Não escolher hospedagem para um serviço que você deseja ser seguro com base em alguns resultados de pesquisa.
21813 Rob Moir
11
@RobM: Exatamente. De que serve perguntar ao provedor se eles acreditam que seu próprio serviço é seguro? 100% deles dirão "sim". Fazer uma pesquisa na web por um termo genérico como esse é um total desperdício de tempo. Parece uma maneira bastante ingênua de abordar toda a questão: " Seus sistemas estão seguros? Ok, fantástico. Obrigado por esclarecer isso. Nesse caso, assinaremos seus serviços sem hesitar. "
Austin '' Danger '' Powers
3

Minha recomendação é sair e perguntar aos próximos caras quais são suas políticas primeiro!
Se você estiver se sentindo bem, poderá dizer aos antigos fornecedores por que está saindo.

Também para abordar a afirmação de outra resposta, os dias das tabelas do arco-íris passaram. Eles foram substituídos por GPUs de alta potência e ocupam muito espaço de armazenamento (os hashes binários obviamente não compactam bem; e você não os armazenaria em ASCII de qualquer maneira). É mais rápido (re) computar o hash em uma GPU do que lê-lo no disco.

Dependendo do algoritmo de hash usado e da GPU, pode-se esperar que um computador moderno de quebra de senha agite entre 100 milhões e um bilhão de hashes por segundo. De acordo com isso , (que é um pouco datado do que um computador / supercomputador pode fazer), isso significa que qualquer senha de 6 caracteres pode ser quebrada em segundos. As tabelas para hashes de 7 e 8 caracteres em todos os vários algoritmos (MD5, SHA-1, SHA-256, SHA-512, Blowfish etc.) consumiriam quantidades desordenadas de espaço em disco (saiba que você precisa armazená-las em um SSD , não um prato magnético, para velocidade de acesso) e você pode ver por que ataques baseados em dicionário usando a GPU renderão senhas mais rapidamente.

Um bom artigo para quem entra em cena é Como me tornei um cracker de senha na Ars Technica.

Nicholas Shanks
fonte
Se o seu segundo parágrafo for realmente verdadeiro, isso significa que a salga é inútil. Esta é sua opinião pessoal ou baseada em fatos?
Tobias Kienzler
@TobiasKienzler De fato, salgar usando um valor que é armazenado na saída é inútil, mas salgar usando um valor privado permanece uma defesa viável contra ataques de dicionário. Esta não é minha opinião pessoal, é uma observação (feita por outros) sobre o comportamento atual dos crackers de senha. Também atualizei a resposta um pouco.
21713 Nicholas Shanks
2
Com valor privado você quer dizer pimenta ? De qualquer forma, as propriedades necessárias para uma boa função de hash são: a) consomem muito tempo ou, melhor ainda, b) podem ser aplicadas em cadeia por uma grande quantidade arbitrária de vezes, a fim de aumentar o tempo necessário. Portanto, enquanto eu concordo que um hash / sal desatualizado é capaz de quebrar, um com complexidade suficientemente aumentada não é. Relacionado: Hashing de senha adicione sal + pimenta ou é sal suficiente?
21413 Tobias Kienzler
@TobiasKienzler Sim, eu não tinha certeza de quão específico eu poderia ser com você :) Obviamente, porém, os sites deveriam estar usando bcrypt()esses dias, mas isso é mais sobre quebrar os hashes daqueles que não o fazem.
21713 Nicholas Shanks
11
Bem, nesse caso, eu concordo, mas um hash ruim / obsoleto / fraco (por exemplo, MD5) é simplesmente indesculpável em um contexto relevante de segurança.
Tobias Kienzler 19/07/2013
1

Isso aconteceu comigo!

Alguns anos atrás, minha identidade foi comprometida quando meu provedor de hospedagem (que também era meu provedor de e-mail na época) sofreu uma violação de segurança. Acordei para não poder verificar meu e-mail porque minha senha havia sido redefinida. Com o controle do meu email, eles tentaram redefinir minha senha na Amazon e no PayPal. Você pode adivinhar o que veio a seguir, certo? Cobranças fraudulentas com cartão de crédito!

Felizmente, consegui descobrir o que estava acontecendo com relativa rapidez, ligar para o meu provedor de hospedagem e validar minuciosamente minha identidade, apesar de as informações da conta e as questões de segurança terem sido alteradas (tudo no espaço de algumas horas). Durante essa conversa, o representante do atendimento ao cliente pôde me contar meu histórico de senhas, quando foi alterado e para quê. Era tudo o que eu precisava ouvir para saber que eu absolutamente precisava mudar de provedor.

Não há razão para que isso aconteça com você, nossa empresa!

Eu tinha minhas suspeitas sobre a minuciosidade desta empresa quando se tratava de segurança, coisas que eu havia notado aqui e ali ao longo dos anos em que lidava com elas. Mas sempre me convenci de que não era grande coisa ou talvez estivesse enganado. Não me enganei, e você também não!

Se eu tivesse agido quando suspeitei que não estavam levando a sério a segurança, esse mini-pesadelo nunca teria acontecido. Para pensar o que poderia ocorrer no caso de uma valiosa conta corporativa ser comprometida? Você ficaria fácil se eles apenas enviassem SPAM. A empresa para a qual eu trabalhava na época também estava usando esse provedor e priorizamos a transição o mais rápido possível.

Confie nos seus instintos! Não exagere na migração por preguiça ou porque sua configuração existente "funciona bem". A parte mais prejudicial dos problemas de supervisão de segurança, como armazenar senhas em texto não criptografado, configurar servidores incorretamente etc. é que eles falam com uma incompetência geral e / ou preguiça em sua cultura técnica, e essa é uma cultura que eu não gostaria que a missão da minha empresa fosse crítica. contrato de serviço em qualquer lugar próximo.

Matt Surabian
fonte
0

Eu posso ver uma explicação alternativa, em que sua senha é realmente dividida em hash nos servidores do seu provedor.

Como o provedor entrou em contato com Você apenas um dia depois, ele provavelmente (e isso é uma suposição) retirou-o dos logs do servidor, pois seu script de alteração de senha está enviando dados pelo método GET.

Parece mais simples do que o seu provedor ter um banco de dados cheio de registros de quando, quem e como alterou sua senha. Você conhece a navalha de Occam ...;)

Peta Sittek
fonte