E-posta barındırma sağlayıcınızın şifrelerinizi görebileceğini fark ederseniz ne yaparsınız?


31

Geçtiğimiz yıl barındırma sağlayıcımızdan hesaplarımızdan birine ilişkin bir e-posta aldık - spam tehlikeye atıldı ve spam konusunda oldukça cömert bir yardım sunmak için kullanıldı.

Görünüşe göre, kullanıcı şifresini isminin bir varyasyonuna sıfırladı (soyadı muhtemelen ilk defa tahmin edebileceğiniz bir şey.) Bir hafta içinde derhal saldırıya uğradı - hesabı 270.000 spam e-posta gönderdi - ve çok hızlı oldu engelledi.

Şimdiye kadar, sıradışı bir şey değil. Olur böyle şeyler. Parolalarınızı daha güvenli bir şeye değiştirir, kullanıcıyı eğitir ve devam edersiniz.

Ancak, bir şey beni hesaplarımızdan birinin tehlikeye atılmasından daha fazla endişelendiriyordu .

Barındırma sağlayıcımız, yardımcı olmak amacıyla, aşağıdaki e-postada bize şifreyi verdi:

görüntü tanımını buraya girin

Şaşkınım. Yakında sözleşmemizi yenileyeceğiz - ve bu bir anlaşmazlık yapıyor gibi geliyor.

Bir barındırma sağlayıcısının bir hesapta kullanılan gerçek şifreyi öğrenmesi ne kadar yaygındır?

Çoğu barındırma hizmeti sağlayıcısının ön hat temsilcilerinden daha fazla erişimi olan (ve gerekirse şifreleri arayabilen) bir hesap kötüye kullanımı departmanı var mı, yoksa bu adamlar herhangi bir personelinin kullanıcıya erişmesini mümkün kılmak için en iyi uygulamayı takip etmiyor mu? şifreler? Şifrelerin toplanması gerektiğini ve geri alınamayacağını sanıyordum. Bu, herkesin şifrelerini düz metin olarak sakladıkları anlamına mı geliyor?

Bir barındırma sağlayıcısının hesap şifrelerini bu şekilde bulabilmesi yasal mıdır ? Sadece bana çok inanılmaz geliyor.

Değişen sağlayıcıya bakmadan önce, bunun yaygın bir uygulama olmadığı ve bir sonraki barındırma sağlayıcımızın da aynı şekilde ayarlanmış şeyler olamayacağına dair güvence istiyorum.

Bu konudaki görüşlerinizi duymak için sabırsızlanıyorum.


4
Açıkçası büyük endişe duymanıza rağmen, tüm bildiğiniz için bu, bir şifreye (asla yapmaması gereken) yeni şifreyi kaydeden bir telefon temsilcisi ve bilet notlarında gördüğünüz başka bir rep. Cevaplar talep etme hakkınız dahilindesiniz, ancak geçerli olduğu gibi şifrenin nasıl alındığını bilmiyorsunuz .
Andrew B,

1
Kullanıcının şifreyi web arayüzü üzerinden ayarladığını biliyorum. Sunucudaki kayıtlardan çıkardılar - ofisteki hiç kimse onlarla telefonda bu konuda konuşmadı (ayrıca, bu sağlayıcının yine de yalnızca e-posta desteğine sahip olduğuna inanıyorum)
Austin '' Tehlike '' Powers

3
Ne yapardım? Omuz silkme. Başkası tarafından kontrol edilen sistemlerde yaptığınız her şey, onlar tarafından görülebilir. Başka birinin bu görünürlüğü e-posta sistemlerinizde görmesini istemiyorsanız, bunları çalıştırın ve kendiniz barındırın. Tanımı gereği sahip oldukları bilgilerle ne yaptıklarını onaylamayabilirsiniz, ancak onlar hakkında yapmama konusunda hiçbir sözleşme zorunluluğu yoksa sözleşmeleri imzaladınız.
MadHatter,

19
Düz metin şifresinin saklanması kötü (kötü gibi Time to find a new provider!) - çoğu insan bunu yapar ama yine de: BAD. Şifreyi şifrelenmemiş bir e-postadagönderiyorsun ? MY Hayır TÜM . Bu güvenlik için rahat bir saygısızlık gösterir. Koş, yürüme, bazı sağduyulu yeni bir sağlayıcıya ...
voretaq7

2
@MadHatter'ın söylediklerini genişletmek istiyorum: Buradaki birçok kişi "düz metin şifrelerini saklama" fikrine odaklanıyor. Asıl gerçek şu ki, bir POP / IMAP sunucusu, bir SSH sunucusu veya şifrenizi yazabileceğiniz başka bir şey kullanıyorsam, yazıp yazmamaya bakılmaksızın, şifreyi yazarken oturum açacak şekilde yapılandırılabilir. Karışık ya da açık metin içeren şeyleri saklıyorum. Google şifrenizi görebilir ve Dropbox şifrenizi görebilir ve Facebook şifrenizi vb. Görebilir. Sağlayıcınıza güvenir veya kendiniz barındırırsınız.
larsks

Yanıtlar:


33

Evet, ISS'lerin ve e-posta servis sağlayıcılarının şifrenizi düz metin olarak veya düz metne kolayca kurtarılabilen bir biçimde saklaması yaygındır.

Bunun nedeni PPP (çevirmeli ve DSL), RADIUS (çevirmeli, 802.1x vb.) Ve POP (e-posta) ile kullanılan kimlik doğrulama protokolleri ile ilgilidir.

Buradaki kural, eğer şifreler ISS'nin veritabanında tek yönlü olarak kullanılıyorsa, kullanılabilecek tek kimlik doğrulama protokollerinin şifreyi tel üzerinden düz metin olarak iletenleri olmasıdır. Ancak, ISS gerçek şifreyi saklarsa, daha güvenli kimlik doğrulama protokolleri kullanılabilir.

Örneğin, PPP veya RADIUS kimlik doğrulaması, kimlik doğrulama verilerini aktarım sırasında güvence altına alan, ancak ISS tarafından depolanması için düz bir metin şifresi gerektiren CHAP kullanabilir. Aynı şekilde, POP3’ün POP3’e

Ayrıca, bir ISS'nin sunduğu tüm çeşitli hizmetler farklı protokoller kullanır ve hepsinin aynı veritabanında kimlik doğrulaması yapmasının tek temiz yolu parolayı düz metin olarak tutmaktır.

Bu , ISS personeli arasında kimin veri tabanına erişimi olduğu ve ne kadar iyi korunabileceği ile ilgili değildir. Hala bunlarla ilgili sert sorular sormalısın.

Şimdiye kadar muhtemelen öğrenmiş olduğunuz gibi, ISP'nin veri tabanının tehlikeye atılmasının neredeyse hiç duyulmamış olmasına rağmen, bireysel kullanıcıların tehlikeye atması çok yaygın. Her iki şekilde de riskin var.

Ayrıca bkz . Parolaların asla kurtarılamaz olması gerektiğine inanmak yanlış mıyım (tek yönlü karma)? kardeş sitemizde BT Güvenliği


2
APOP'un ölü bir protokolü var ve MSCHAPv2 sunucunun şifreyi açık bir şekilde bilmesi gerekmiyor - Bir servis sağlayıcısının bugünlerde şifreleri temiz tutması için bir neden olduğunu sanmıyorum.
Shane Madden

1
@ShaneMadden Haklısın; MSCHAP yerine CHAP. Ve evet, bu protokoller ölmek üzere.
Michael Hampton

Evet - eski hizmet sağlayıcıların çoğunun açık {crypt}metin şifrelerden ziyade kabaca eski bir LDAP'ye sahip olduğunu düşünmek isterim (geçmişte sahne arkasına baktıklarımın uyguladığı yaklaşım) ). Yine de bu sadece arzulu bir düşünce olabilir.
Shane Madden

1
Zorunlu şifreleme notu, "Buradaki sapma, eğer şifreler ISS'nin veritabanında tek yönlü olarak kullanılıyorsa, kullanılabilecek tek kimlik doğrulama protokolleri, şifreyi tel üzerinden düz metin olarak iletenlerin olmasıdır. gerçek parola, daha güvenli kimlik doğrulama protokolleri kullanılabilir. " genellikle doğru değil. Bu sadece doğrudur, çünkü şifreli şifreleri olan güvenli bir kimlik doğrulama düzenine izin veren mevcut protokol yoktur .
orlp

1
@ nightcracker, aktaracağınız veri miktarına kıyasla (aynı zamanda şifrelenmiş, umarım), küçük miktardaki kimlik doğrulama verilerinin sizi gerçekten bu kadar rahatsız etmemesi gerekir
Tobias Kienzler 19:13

12

Bu ne yazık ki, bütçe ana bilgisayarları ile oldukça yaygındır ve daha büyük ana bilgisayarlarda bile duyulmamış bir durum değildir. Cpanel gibi şeyler, sizin gibi çeşitli hizmetlere giriş yapabilmek için sık sık düz metin şifrenize ihtiyaç duyar.

Yapabileceğiniz tek şey, şifrelerin karıştırılıp karıştırılmadığını sormaktır.


28
Çok düşük bütçeli bir ev sahibi ... Gerçek olamayacak kadar iyi olduğunu biliyordum. Bu beni deli ediyor. Her neyse, boynunu bir cevapla çıkardığın için teşekkürler. İlk başta bunun yüksek bir emir olduğunu düşünmüştüm, ama bu vesile ile karşılaştın. Bu gibi cevaplar bu sitenin yeni zirvelere ulaşmasına yardımcı olur. Bunu en iyi cevap olarak işaretlemeyi düşünüyordum, ama boyun ve boyun.
Austin '' Tehlike '' Powers,

7

Büyük olasılıkla şifreleri düz metin olarak saklıyor ya da bir tür tersinir şifreleme kullanıyorlar.

Tahmin ettiğiniz gibi, bu çok kötü.

Çalışanların kötüye kullanımı ya da ihmali ya da sistemlerinin dışarıdan bir tarafın vermesi sonucu, yanlış kullanılan düz metin şifrelerinin ciddi bir risk oluşturması nedeniyle - sadece kendi sistemleri için değil, aynı zamanda diğer kullanıcıların da aynı şifreyi kullanmış olması gerekir.

Parolaların sorumlu bir şekilde saklanması, ters çevrilebilir şifreleme yerine tek yönlü karma işlevlerinin kullanılması anlamına gelir; gökkuşağı tablolarının kullanımını önlemek için kullanıcının girdisine bir tuz eklenir (rastgele veriler) .

Ayakkabının içinde olsaydım, sağlayıcıya şifreleri nasıl depoladıkları ve destek temsilcilerinin şifreyi nasıl alabilecekleri hakkında bazı sorular sorardım. Bu, şifreleri düz metin olarak sakladıkları anlamına gelmeyebilir, ancak belki de değiştirildiklerinde bir yere giriş yapıyorlar - aynı zamanda büyük bir risk.


1
Onlara bazı sorular soracağım ve ilginç bir şey söylerlerse buraya geri göndereceğim. En büyük endişem potansiyel olarak 1) e-postalarımızdan herhangi birini okuyabilir 2) e-postalarımızı okurken, kişisel bir e-posta hesabına bir referans bakın 3) bir kullanıcı iş ve kişisel e-posta için aynı şifreyi kullanıyorsa, o zaman kişisel e-postaları da tehlikeye atılmak.
Austin '' Tehlike '' Powers

@ Austin''Danger''Powers "potansiyel olarak 1) e-postalarımızdan herhangi birini okuyabilir " Herhangi bir ev sahibi bunu yapabilir - istisnalar yok (posta içeriğinin kendisinin gönderen tarafından şifrelenmediği varsayılır - ancak bu farklı bir hikaye).
orlp

Bunun yalnızca üst düzey destek için mümkün olduğunu düşündüm. Şifreleri görüntülemek , destek temsilcilerinden herhangi birinin yapabileceği bir şeyse, e-postalarımızla dürüst olmayan / sıkılmış bir çalışanın alay etme riski artar.
Austin '' Tehlike '' Powers

5

Diğer tüm cevaplar harika ve çok iyi tarihsel noktalara sahip.

Ancak, şifreleri düz metin olarak saklamanın büyük finansal sorunlara neden olduğu ve işletmeleri tamamen tahrip edebildiği çağda yaşıyoruz. Güvenli olmayan e-posta yoluyla şifreleri düz metin olarak göndermek, NSA'nın girişindeki tüm verileri aktarma konusunda çok saçma geliyor.

Bazı eski protokollerin düz metin şifreler gerektirdiği gerçeğini kabul etmek zorunda değilsiniz. Hepimiz bu tür hizmetleri kabul etmekten vazgeçersek, muhtemelen hizmet sağlayıcılar bu konuda bir şeyler yapar ve nihayet eski teknolojiyi ortadan kaldırır.

Bazı insanlar bir keresinde başka bir ülkeye uçmak için bir uçağa binmek istediğinizde, kelimenin tam anlamıyla caddeye park etmek için uçağa gireceğinizi hatırlayabilir. Hiçbir zaman güvenlik yok. Günümüzde insanlar uygun güvenlik önlemlerinin alınmasının gerekli olduğunu ve tüm havaalanlarının bunları hayata geçirdiğini fark etti.

Başka bir e-posta sağlayıcısına geçerdim. "Güvenli e-posta sağlayıcısı" nda arama yapmak çok fazla sonuç verir.

Yorumlarda bazı iyi noktalar vardı. Muhtemelen "güvenli e-posta sağlayıcısı" için arama yapmak, tüm e-posta sağlayıcılarının güvenli olduklarından ötürü çok anlamlı olacaktır. Ancak, belirli bir şirketi tavsiye edemem ve muhtemelen de iyi bir fikir değil. Belirli bir şirket tespit ederseniz ilk önce güvenlikle ilgili sert bir soru sormak iyi bir şey olacaktır.


1
Son web yöneticimizin bu sağlayıcıyı önermesinin sebeplerinden biri, öncekinden daha "güvenli" olması gerektiği idi. Yakında onlar o şifreleri bazı özel karakterler izin vermeyeceğini keşfetti kullanılan daha sonra kendi personeli bizim şifrelerine erişime sahip olduğunu, kullanım muktedir. "Daha güvenli" olmalarının tek nedeni, bizi belirli minimum şifre uzunluğu / karmaşıklık gereksinimlerini karşılamaya zorlamalarıdır.
Austin '' Tehlike '' Powers

Herkes çağırır "güvenli" onların hizmetini, ama her zaman bunun anlamı ne düşündüğünü anlamına gelmediğini kutu çıkıyor. Sistem bunu imkansız hale getirmelidir. Yıllar önce bir ISS için çalıştım ve herhangi bir müşterinin e-posta şifresini sıfırlayabilsem de, güncel olanın ne olduğunu göremedim. Bu adamlar teorik olarak e-postalarımızı bilgimiz olmadan okuyabilirdi ... Güvenime güvenmemeliydim .
Austin '' Tehlike '' Powers

1
Maksimum uzunluk gereksinimi uyguluyor mu? Bu, neredeyse her zaman düz metin parola depolaması için bir kanaryadır.
Mels

1
"Arama" güvenli e-posta sağlayıcısı "pek çok sonuç verir." - evet ve şifreleri düz metin olarak saklayan bu sitelerin kaç tanesi bu sonuçların altında çıkacak, çünkü kendilerinin güvende olduklarına inanıyorlar. Do bir kaç arama sonuçlarına dayanarak güvenli olmak isteyen bir hizmet için hosting almak.
Rob Moir

1
@RobM: Kesinlikle. Sağlayıcıya, kendi hizmetlerinin güvenli olduğuna inanıp inanmadıklarını sormak ne işe yarar ? % 100'ü "evet" diyecek. Bunun gibi genel bir terim için web araması yapmak, tam bir zaman kaybıdır. Aslında bütün meseleye yaklaşmak oldukça naif bir yol görünüyor: " sistemlerinizin güvenli mi Tamam, fantastik olduğunu açıkladığınız için teşekkür ederiz Bu durumda biz tereddüt etmeden hizmetlerine abone olacak?... "
Austin '' Tehlike '' Güçler

3

Benim tavsiyem ayrılmak ve diğerlerine politikalarının ne olduğunu sormak!
Kendini iyi hissediyorsan, eski sağlayıcılara neden ayrıldığını söyleyebilirsin.


Ayrıca başka bir cevabın ifadesini ele almak için, gökkuşağı tablolarının günleri geçti. Yüksek güçlü GPU'lar tarafından değiştirildiler ve çok fazla depolama alanı kullandılar (ikili karmalar açıkça iyi sıkıştırılmıyor; ve yine de bunları ASCII'de saklamıyorsunuz). Bir GPU'daki karma değeri (yeniden) hesaplamak, diski okumaktan daha hızlıdır.

Kullanılan karma algoritmaya ve GPU'ya bağlı olarak, modern bir parola kırma bilgisayarının saniyede yaklaşık 100 milyon ila bir milyar karma karmaşası yapması beklenebilir. Göre bu (bir bilgisayar / süper yapabileceğini düşündüğünü tarihli biraz olan), bu araçlar herhangi bir 6 karakter şifre saniyede kırık olabilir. Tüm çeşitli algoritmalarda (MD5, SHA-1, SHA-256, SHA-512, Blowfish vb.) 7 ve 8 karakter karmaları için tablolar, hatalı miktarda disk alanı tüketir (bir SSD'de saklamanız gerektiğini fark eder) (manyetik bir tabla değil, erişim hızı için) ve GPU'yu kullanan sözlük tabanlı saldırıların neden daha hızlı şifreler vereceğini görebilirsiniz.

Sahneye gelenler için güzel bir yazı Ars Technica'da şifre kırıcı oldu.


İkinci paragrafınız gerçekten doğruysa, tuzlamanın işe yaramaz olduğu anlamına gelir . Bu sizin kişisel görüşünüz mü yoksa gerçeklere mi dayanıyor?
Tobias Kienzler

@TobiasKienzler Gerçekten, çıktıda depolanan bir değeri kullanarak tuzlamak oldukça işe yaramaz hale geliyor, ancak özel bir değer kullanarak tuzlamak sözlük saldırılarına karşı geçerli bir savunma olarak kalıyor. Bu benim kişisel görüşüm değil, şifre kırıcıların mevcut davranışları üzerine bir gözlem (başkaları tarafından yapılan). Ben de cevabı biraz güncelledim.
Nicholas Shanks

2
Özel değeri olan biber demek istiyorsun ? Her neyse, iyi bir karma fonksiyonunun gerekli özellikleri a) ciddi zaman alırlar veya hatta daha iyi olurlar b) İstenilen süreyi arttırmak için isteğe bağlı olarak büyük miktarda rasgele uygulanabilirler. Bu yüzden modası geçmiş bir karma / tuzun parçalanabildiğini kabul ediyorum, ancak yeterince karmaşık bir yapı bulunmuyor. İlgili: Şifre Hashing tuz + biber ekleyin veya tuz yeterli mi?
Tobias Kienzler 19:13

@ TobiasKienzler Evet, seninle ne kadar spesifik olabileceğime emin değildim :) Açıkçası, siteler bcrypt()bugünlerde kullanılmalıydı, ama bu daha fazla olmayanların kargaşasını kırmakla ilgili .
Nicholas Shanks

1
Eh, bu durumda katılıyorum, ancak kötü / eski / zayıf bir karma (örneğin MD5) güvenlikle ilgili bir bağlamda basitçe affedilmez.
Tobias Kienzler

1

Bu Bana Oldu!

Birkaç yıl önce, barındırma sağlayıcım (aynı zamanda e-posta sağlayıcım olan) bir güvenlik ihlali yaşadığı zaman kimliğim tehlikeye girdi. Şifrem sıfırlandığından e-postamı kontrol edememekle uyandım. E-postamı kontrol altına alarak Amazon ve PayPal'daki şifremi sıfırlamayı denediler. Sonra ne geldiğini tahmin edebilirsiniz, değil mi? Sahte kredi kartı ücretleri!

Neyse ki nispeten hızlı bir şekilde ne olduğunu anlayabildim, hosting sağlayıcımı telefona getirdim ve hesap bilgilerim ve güvenlik sorunlarımın değişmesine rağmen (tümü birkaç saat içinde) kimliğimi titizlikle doğruladım. Bu görüşme sırasında müşteri hizmetleri temsilcisi bana şifre geçmişimi, ne zaman ve ne zaman değiştirildiğini söyleyebildi. Tedarikçilerimi değiştirmek için kesinlikle ihtiyacım olduğunu bilmek için ihtiyacım olan buydu.

Size, Firmamıza Olması Gerekmiyor!

Bu şirketin güvenlik açısından geldiğine dair şüphelerim vardı, burada ve orada onlarla uğraştığım yıllar boyunca dikkatimi çeken şeyler vardı. Ama kendimi her zaman büyük bir sorun olmadığına ya da yanıldığıma ikna ettim. Yanılmıyordum, sen de değilsin!

İlk mini kabusun asla gerçekleşmeyeceğinden güvenlikleri ciddiye almadıklarından şüphelendiğimde hareket etseydim. Değerli bir şirket hesabının tehlikeye girmesi durumunda neler olabileceğini düşünmek? Sadece SPAM gönderirlerse kolaylaşırsınız. O sırada çalıştığım firma da bu sağlayıcıyı kullanıyordu ve mümkün olan en kısa sürede geçiş yapmayı öncelikli yaptık.

İçgüdülerine güven! Tembelliğin dışına çıkma veya mevcut kurulumunuzun "iyi sonuç vermesi" nedeniyle para kazanmayın. Asılı güvenlik denetimlerinin en berbat kısmı, parolaları açık metinlerde saklamak, sunucuların uygun olmayan şekilde yapılandırmak vb. her yerde servis sözleşmesi.


0

Şifrenizin, sağlayıcınızın sunucularında gerçekte bulunduğu alternatif bir açıklama görebiliyorum.

Sağlayıcı, yalnızca bir gün sonra Sizinle iletişim kurduğunda, muhtemelen (ve bu bir sürpriz) parola değiştirme komut dosyası GET yöntemiyle veri gönderirken, sunucu günlüklerinden çıkardı.

Veritabanının şifresini ne zaman, kim ve nasıl değiştirdiği ile dolu olması, sağlayıcınızdan daha basit görünüyor. Occam'ın jiletini biliyorsun ...;)

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.