如果您意识到您的电子邮件托管服务提供商可以看到您的密码,您会怎么做?
Aus*_*ers 31 security email password best-practices
去年,我们收到了来自托管服务提供商的一封电子邮件,内容涉及我们的一个帐户 - 它已被盗用并用于提供相当慷慨的垃圾邮件帮助。
显然,用户已将她的密码重置为她名字的变体(姓氏是你第一次可能猜到的。)她在一周内立即遭到黑客攻击 - 她的帐户发送了大量 270,000 封垃圾邮件 - 并且很快阻止。
到目前为止,没有什么特别不寻常的。那个会发生。您将密码更改为更安全的密码,教育用户并继续前进。
然而,有关的东西我更比我们账户的事实,一个已经失密。
我们的托管服务提供商为了提供帮助,实际上在以下电子邮件中向我们引用了密码:
我很惊讶。我们很快就要续约了——这感觉就像一个交易破坏者。
托管服务提供商能够找出帐户中使用的实际密码的情况有多普遍?
大多数托管服务提供商是否有一个帐户滥用部门比一线代表拥有更多的访问权限(并且可以在必要时查找密码),或者这些人只是没有遵循最佳实践来让他们的任何员工访问用户?密码?我认为密码应该被散列并且不可检索?这是否意味着他们以纯文本形式存储每个人的密码?
托管服务提供商能够以这种方式发现帐户密码是否合法?这对我来说似乎太不可思议了。
在我们考虑更换提供商之前,我想保证这不是常见的做法,而且我们的下一个托管服务提供商也不太可能以相同的方式进行设置。
期待听到您对此的看法。
Mic*_*ton 33
是的,ISP 和电子邮件服务提供商通常以纯文本或易于恢复为纯文本的格式存储您的密码。
其原因与 PPP(拨号和 DSL)、RADIUS(拨号、802.1x 等)和 POP(电子邮件)等使用的身份验证协议有关。
这里的权衡是,如果密码在 ISP 的数据库中是单向散列的,那么唯一可以使用的身份验证协议是那些通过线路以纯文本形式传输密码的协议。但如果 ISP 存储实际密码,则可以使用更安全的身份验证协议。
例如,PPP 或 RADIUS 身份验证可能会使用 CHAP,它可以保护传输中的身份验证数据,但需要 ISP 存储纯文本密码。与 POP3 的 APOP 扩展类似。
此外,ISP 提供的所有各种服务都使用不同的协议,让它们全部通过同一数据库进行身份验证的唯一干净方法是将密码保留为纯文本。
这并没有解决的问题,谁的ISP的工作人员可以访问数据库中,和它如何妥善固定,虽然。你仍然应该就这些问题提出尖锐的问题。
不过,正如您现在可能已经了解到的那样,ISP 的数据库遭到入侵几乎是闻所未闻的,而个人用户遭到入侵的情况则非常普遍。无论哪种方式,您都有风险。
另请参阅我是否错误地认为密码永远不可恢复(单向哈希)?在我们的姊妹网站IT 安全
- APOP 几乎是一个死协议,而且 MSCHAPv2 不需要服务器以明文方式知道密码 - 我真的不认为服务提供商现在有很多理由保留明文密码。 (2认同)
lon*_*eck 12
不幸的是,这对于预算主机来说相当普遍,即使对于更大的主机也不是闻所未闻。像 cpanel 这样的东西经常需要你的纯文本密码才能像你一样登录各种服务等。
您唯一能做的就是预先询问密码是否经过哈希处理。
- 这是一个预算非常低的主机......我知道这太好了,难以置信。这让我抓狂。无论如何,谢谢你伸出你的脖子回答。起初我认为这是一项艰巨的任务,但你挺身而出。像这样的答案帮助这个网站达到新的高度。我正在考虑将其标记为最佳答案,但它并驾齐驱。 (28认同)
所有其他答案都很棒,并且具有非常好的历史观点。
然而,我们生活在以纯文本形式存储密码会导致巨大的财务问题并可能彻底摧毁企业的时代。在 NSA 吸收所有传递数据的时代,通过不安全的电子邮件以纯文本形式发送密码听起来也很荒谬。
您不必接受某些旧协议需要纯文本密码的事实。如果我们都停止接受此类服务,那么服务提供商可能会对此采取措施并最终弃用古老的技术。
有些人可能还记得,有一次当你想登上飞往另一个国家的飞机时,你实际上只是从街边停车场走进飞机。没有安全感。如今,人们意识到需要采取适当的安全措施,所有机场都已采取措施。
我会切换到另一个电子邮件提供商。搜索“安全电子邮件提供商”会产生很多结果。
评论中有一些很好的观点。搜索“安全电子邮件提供商”可能很有意义,因为所有电子邮件提供商都会吹嘘他们是安全的。但是,我不能推荐特定的公司,这样做也可能不是一个好主意。如果您确定一家特定的公司首先询问有关安全的难题将是一件好事。
| 归档时间: |
|
| 查看次数: |
2013 次 |
| 最近记录: |