E-posta barındırma sağlayıcınızın şifrelerinizi görebileceğini fark ederseniz ne yaparsınız?

Geçtiğimiz yıl barındırma sağlayıcımızdan hesaplarımızdan birine ilişkin bir e-posta aldık - spam tehlikeye atıldı ve spam konusunda oldukça cömert bir yardım sunmak için kullanıldı.

Görünüşe göre, kullanıcı şifresini isminin bir varyasyonuna sıfırladı (soyadı muhtemelen ilk defa tahmin edebileceğiniz bir şey.) Bir hafta içinde derhal saldırıya uğradı - hesabı 270.000 spam e-posta gönderdi - ve çok hızlı oldu engelledi.

Şimdiye kadar, sıradışı bir şey değil. Olur böyle şeyler. Parolalarınızı daha güvenli bir şeye değiştirir, kullanıcıyı eğitir ve devam edersiniz.

Ancak, bir şey beni hesaplarımızdan birinin tehlikeye atılmasından daha fazla endişelendiriyordu .

Barındırma sağlayıcımız, yardımcı olmak amacıyla, aşağıdaki e-postada bize şifreyi verdi:

Şaşkınım. Yakında sözleşmemizi yenileyeceğiz - ve bu bir anlaşmazlık yapıyor gibi geliyor.

Bir barındırma sağlayıcısının bir hesapta kullanılan gerçek şifreyi öğrenmesi ne kadar yaygındır?

Çoğu barındırma hizmeti sağlayıcısının ön hat temsilcilerinden daha fazla erişimi olan (ve gerekirse şifreleri arayabilen) bir hesap kötüye kullanımı departmanı var mı, yoksa bu adamlar herhangi bir personelinin kullanıcıya erişmesini mümkün kılmak için en iyi uygulamayı takip etmiyor mu? şifreler? Şifrelerin toplanması gerektiğini ve geri alınamayacağını sanıyordum. Bu, herkesin şifrelerini düz metin olarak sakladıkları anlamına mı geliyor?

Bir barındırma sağlayıcısının hesap şifrelerini bu şekilde bulabilmesi yasal mıdır ? Sadece bana çok inanılmaz geliyor.

Değişen sağlayıcıya bakmadan önce, bunun yaygın bir uygulama olmadığı ve bir sonraki barındırma sağlayıcımızın da aynı şekilde ayarlanmış şeyler olamayacağına dair güvence istiyorum.

Bu konudaki görüşlerinizi duymak için sabırsızlanıyorum.

Evet, ISS'lerin ve e-posta servis sağlayıcılarının şifrenizi düz metin olarak veya düz metne kolayca kurtarılabilen bir biçimde saklaması yaygındır.

Bunun nedeni PPP (çevirmeli ve DSL), RADIUS (çevirmeli, 802.1x vb.) Ve POP (e-posta) ile kullanılan kimlik doğrulama protokolleri ile ilgilidir.

Buradaki kural, eğer şifreler ISS'nin veritabanında tek yönlü olarak kullanılıyorsa, kullanılabilecek tek kimlik doğrulama protokollerinin şifreyi tel üzerinden düz metin olarak iletenleri olmasıdır. Ancak, ISS gerçek şifreyi saklarsa, daha güvenli kimlik doğrulama protokolleri kullanılabilir.

Örneğin, PPP veya RADIUS kimlik doğrulaması, kimlik doğrulama verilerini aktarım sırasında güvence altına alan, ancak ISS tarafından depolanması için düz bir metin şifresi gerektiren CHAP kullanabilir. Aynı şekilde, POP3’ün POP3’e

Ayrıca, bir ISS'nin sunduğu tüm çeşitli hizmetler farklı protokoller kullanır ve hepsinin aynı veritabanında kimlik doğrulaması yapmasının tek temiz yolu parolayı düz metin olarak tutmaktır.

Bu , ISS personeli arasında kimin veri tabanına erişimi olduğu ve ne kadar iyi korunabileceği ile ilgili değildir. Hala bunlarla ilgili sert sorular sormalısın.

Şimdiye kadar muhtemelen öğrenmiş olduğunuz gibi, ISP'nin veri tabanının tehlikeye atılmasının neredeyse hiç duyulmamış olmasına rağmen, bireysel kullanıcıların tehlikeye atması çok yaygın. Her iki şekilde de riskin var.

Ayrıca bkz . Parolaların asla kurtarılamaz olması gerektiğine inanmak yanlış mıyım (tek yönlü karma)? kardeş sitemizde BT Güvenliği

Bu ne yazık ki, bütçe ana bilgisayarları ile oldukça yaygındır ve daha büyük ana bilgisayarlarda bile duyulmamış bir durum değildir. Cpanel gibi şeyler, sizin gibi çeşitli hizmetlere giriş yapabilmek için sık sık düz metin şifrenize ihtiyaç duyar.

Yapabileceğiniz tek şey, şifrelerin karıştırılıp karıştırılmadığını sormaktır.

Büyük olasılıkla şifreleri düz metin olarak saklıyor ya da bir tür tersinir şifreleme kullanıyorlar.

Tahmin ettiğiniz gibi, bu çok kötü.

Çalışanların kötüye kullanımı ya da ihmali ya da sistemlerinin dışarıdan bir tarafın vermesi sonucu, yanlış kullanılan düz metin şifrelerinin ciddi bir risk oluşturması nedeniyle - sadece kendi sistemleri için değil, aynı zamanda diğer kullanıcıların da aynı şifreyi kullanmış olması gerekir.

Parolaların sorumlu bir şekilde saklanması, ters çevrilebilir şifreleme yerine tek yönlü karma işlevlerinin kullanılması anlamına gelir; gökkuşağı tablolarının kullanımını önlemek için kullanıcının girdisine bir tuz eklenir (rastgele veriler) .

Ayakkabının içinde olsaydım, sağlayıcıya şifreleri nasıl depoladıkları ve destek temsilcilerinin şifreyi nasıl alabilecekleri hakkında bazı sorular sorardım. Bu, şifreleri düz metin olarak sakladıkları anlamına gelmeyebilir, ancak belki de değiştirildiklerinde bir yere giriş yapıyorlar - aynı zamanda büyük bir risk.

Diğer tüm cevaplar harika ve çok iyi tarihsel noktalara sahip.

Ancak, şifreleri düz metin olarak saklamanın büyük finansal sorunlara neden olduğu ve işletmeleri tamamen tahrip edebildiği çağda yaşıyoruz. Güvenli olmayan e-posta yoluyla şifreleri düz metin olarak göndermek, NSA'nın girişindeki tüm verileri aktarma konusunda çok saçma geliyor.

Bazı eski protokollerin düz metin şifreler gerektirdiği gerçeğini kabul etmek zorunda değilsiniz. Hepimiz bu tür hizmetleri kabul etmekten vazgeçersek, muhtemelen hizmet sağlayıcılar bu konuda bir şeyler yapar ve nihayet eski teknolojiyi ortadan kaldırır.

Bazı insanlar bir keresinde başka bir ülkeye uçmak için bir uçağa binmek istediğinizde, kelimenin tam anlamıyla caddeye park etmek için uçağa gireceğinizi hatırlayabilir. Hiçbir zaman güvenlik yok. Günümüzde insanlar uygun güvenlik önlemlerinin alınmasının gerekli olduğunu ve tüm havaalanlarının bunları hayata geçirdiğini fark etti.

Başka bir e-posta sağlayıcısına geçerdim. "Güvenli e-posta sağlayıcısı" nda arama yapmak çok fazla sonuç verir.

Yorumlarda bazı iyi noktalar vardı. Muhtemelen "güvenli e-posta sağlayıcısı" için arama yapmak, tüm e-posta sağlayıcılarının güvenli olduklarından ötürü çok anlamlı olacaktır. Ancak, belirli bir şirketi tavsiye edemem ve muhtemelen de iyi bir fikir değil. Belirli bir şirket tespit ederseniz ilk önce güvenlikle ilgili sert bir soru sormak iyi bir şey olacaktır.

Benim tavsiyem ayrılmak ve diğerlerine politikalarının ne olduğunu sormak!
Kendini iyi hissediyorsan, eski sağlayıcılara neden ayrıldığını söyleyebilirsin.

Ayrıca başka bir cevabın ifadesini ele almak için, gökkuşağı tablolarının günleri geçti. Yüksek güçlü GPU'lar tarafından değiştirildiler ve çok fazla depolama alanı kullandılar (ikili karmalar açıkça iyi sıkıştırılmıyor; ve yine de bunları ASCII'de saklamıyorsunuz). Bir GPU'daki karma değeri (yeniden) hesaplamak, diski okumaktan daha hızlıdır.

Kullanılan karma algoritmaya ve GPU'ya bağlı olarak, modern bir parola kırma bilgisayarının saniyede yaklaşık 100 milyon ila bir milyar karma karmaşası yapması beklenebilir. Göre bu (bir bilgisayar / süper yapabileceğini düşündüğünü tarihli biraz olan), bu araçlar herhangi bir 6 karakter şifre saniyede kırık olabilir. Tüm çeşitli algoritmalarda (MD5, SHA-1, SHA-256, SHA-512, Blowfish vb.) 7 ve 8 karakter karmaları için tablolar, hatalı miktarda disk alanı tüketir (bir SSD'de saklamanız gerektiğini fark eder) (manyetik bir tabla değil, erişim hızı için) ve GPU'yu kullanan sözlük tabanlı saldırıların neden daha hızlı şifreler vereceğini görebilirsiniz.

Sahneye gelenler için güzel bir yazı Ars Technica'da şifre kırıcı oldu.

Bu Bana Oldu!

Birkaç yıl önce, barındırma sağlayıcım (aynı zamanda e-posta sağlayıcım olan) bir güvenlik ihlali yaşadığı zaman kimliğim tehlikeye girdi. Şifrem sıfırlandığından e-postamı kontrol edememekle uyandım. E-postamı kontrol altına alarak Amazon ve PayPal'daki şifremi sıfırlamayı denediler. Sonra ne geldiğini tahmin edebilirsiniz, değil mi? Sahte kredi kartı ücretleri!

Neyse ki nispeten hızlı bir şekilde ne olduğunu anlayabildim, hosting sağlayıcımı telefona getirdim ve hesap bilgilerim ve güvenlik sorunlarımın değişmesine rağmen (tümü birkaç saat içinde) kimliğimi titizlikle doğruladım. Bu görüşme sırasında müşteri hizmetleri temsilcisi bana şifre geçmişimi, ne zaman ve ne zaman değiştirildiğini söyleyebildi. Tedarikçilerimi değiştirmek için kesinlikle ihtiyacım olduğunu bilmek için ihtiyacım olan buydu.

Size, Firmamıza Olması Gerekmiyor!

Bu şirketin güvenlik açısından geldiğine dair şüphelerim vardı, burada ve orada onlarla uğraştığım yıllar boyunca dikkatimi çeken şeyler vardı. Ama kendimi her zaman büyük bir sorun olmadığına ya da yanıldığıma ikna ettim. Yanılmıyordum, sen de değilsin!

İlk mini kabusun asla gerçekleşmeyeceğinden güvenlikleri ciddiye almadıklarından şüphelendiğimde hareket etseydim. Değerli bir şirket hesabının tehlikeye girmesi durumunda neler olabileceğini düşünmek? Sadece SPAM gönderirlerse kolaylaşırsınız. O sırada çalıştığım firma da bu sağlayıcıyı kullanıyordu ve mümkün olan en kısa sürede geçiş yapmayı öncelikli yaptık.

İçgüdülerine güven! Tembelliğin dışına çıkma veya mevcut kurulumunuzun "iyi sonuç vermesi" nedeniyle para kazanmayın. Asılı güvenlik denetimlerinin en berbat kısmı, parolaları açık metinlerde saklamak, sunucuların uygun olmayan şekilde yapılandırmak vb. her yerde servis sözleşmesi.

Şifrenizin, sağlayıcınızın sunucularında gerçekte bulunduğu alternatif bir açıklama görebiliyorum.

Sağlayıcı, yalnızca bir gün sonra Sizinle iletişim kurduğunda, muhtemelen (ve bu bir sürpriz) parola değiştirme komut dosyası GET yöntemiyle veri gönderirken, sunucu günlüklerinden çıkardı.

Veritabanının şifresini ne zaman, kim ve nasıl değiştirdiği ile dolu olması, sağlayıcınızdan daha basit görünüyor. Occam'ın jiletini biliyorsun ...;)