it-swarm.it

Cosa fare per i siti Web che memorizzano password in testo semplice

Recentemente ho ricevuto un'e-mail da un famoso sito Web per la ricerca di laurea (prospects.ac.uk) che non ho usato da un po 'di tempo, suggerendo di utilizzare una nuova funzionalità. Conteneva sia il mio nome utente che la mia password in testo semplice. Presumo che ciò significhi che hanno memorizzato la mia password in testo semplice.

C'è qualcosa che posso fare per migliorare la loro sicurezza o rimuovere completamente i miei dati dal loro sistema?

AGGIORNAMENTO: Grazie a tutti per il consiglio. Li ho inviati per email, spiegando cosa era sbagliato e perché, dicendo che avrei scritto al commissario DP e li avrei aggiunti a plaintextoffenders.com.

Ho ricevuto una risposta un'ora dopo: un messaggio automatico contenente un nome utente e una password per il loro sistema di supporto. Oh caro...

84
jamesj

Non c'è davvero molto che puoi fare, a parte contattare il sito Web e provare a spiegare loro quanto sia cattiva l'idea e la pratica di archiviare (e-mail) le password in testo semplice.

Una cosa che puoi fare è segnalare qualsiasi sito offensivo a plaintextoffenders.com - un sito (attualmente un blog di tumblr, ma presto stiamo lavorando su un sito appropriato) che elenca diversi "autori di reati di testo semplice" - siti che ti inviano tramite email la tua password, esponendo in tal modo il fatto che la memorizzano in testo semplice o utilizzano una crittografia reversibile, il che è altrettanto negativo.

Con tutto ciò che è successo con Sony , ancora e ancora, le persone diventano più consapevoli dei pericoli dei siti che memorizzano dettagli sensibili non crittografati, ma molti non lo sono ancora. Ci sono oltre 300 siti segnalati, con più segnalazioni in arrivo ogni giorno!

Eventualmente, plaintextoffenders.com aiuta esponendo sempre più siti. Una volta che questo riceve abbastanza attenzione su Twitter o altri social media, a volte i siti cambiano strada e risolvono il problema! Ad esempio Smashing Magazine e Pingdom hanno recentemente cambiato il modo in cui gestiscono le password e non memorizzano più né inviano e-mail le password in chiaro!

Il problema è la consapevolezza e spero che possiamo aiutare la causa con i criminali in chiaro.

50
Igal Tabachnik

La memorizzazione di una password in testo normale non è in realtà un problema - almeno molto meno che inviare la password in testo normale e-mail!

Questa e-mail dimostra solo che gli amministratori del sito Web non sono molto attenti alle informazioni che gli vengono affidate, e questa è una buona ragione per non affidare loro ulteriori dati.

14
Thomas Pornin

Usa una password diversa per ogni sito. In questo modo, quando la password è compromessa (sia curiosando su trasmissioni di email in chiaro o anche se un database con le password con hash/salate sono craccate), l'attaccante sarà in grado di accedere al tuo account solo su quel sito, piuttosto che su tutti i siti su cui hai credenziali di account simili.

... e quindi non devi ricordare migliaia di password: Stanford's PwdHash è una comoda estensione del browser che automaticamente genera password univoche eseguendo l'hashing di una password comune immessa con il dominio del sito.

9
smokris

Invia loro una e-mail chiedendo di essere rimossi dal loro database.

Non fornire ulteriori informazioni su di te a loro

Assicurati di non utilizzare quella password ovunque.

3
woliveirajr

Ecco perché si consiglia di utilizzare un'altra password su ciascun sito.

Prova a inviarli via e-mail per eliminare il tuo account. Altrimenti non utilizzare quel sito e in realtà, utilizzare/generare un'altra password (e lunga!) Su ogni sito a cui ti stai registrando. Non si sa mai quali memorizzano password semplici nel loro database

3
genesis

Direi che la password è là fuori per essere vista dal mondo, basta aggiornarla con una password che non si utilizza da nessun'altra parte. Pertanto, nessuno può hackerare le tue informazioni su qualsiasi altro sito usando la password di questo sito. Esempio potrebbe essere se la tua email è il tuo login e stai usando la password su questo sito come password per la tua email.

A parte questo, se desideri offrire di aiutare il sito Web a memorizzare le password in modo efficace e inviare loro il link di questo thread di StackOverflow.

2
pal4life

Se sta trasmettendo password in chiaro, è una "vulnerabilità".

Il primo passo è trovare una prova, ad esempio eseguendo Wireshark per acquisire le password mentre vengono inviate sul filo.

Il secondo passo è contattare l'azienda, ad esempio inviando un'e-mail a "[email protected]". Gli indirizzi di posta elettronica "secure @" e "security @" sono le caselle di posta elettronica create dalle società se interessate da tali scoperte.

Salva le risposte che ricevi dalla società.

Quando diventa ovvio che la società non ha intenzione di risolverlo, pubblica un messaggio nella mailing list " full-disclosure ". Descrivi in ​​modo succinto il problema, mostra la prova e mostra la risposta.

Leggi i messaggi di posta elettronica nell'elenco completo delle informazioni per vedere come hanno fatto le altre persone.

1
  1. Non utilizzare un sistema che puoi dimostrare essere insicuro se ne hai bisogno per essere sicuro.
  2. Contattare la società/proprietario responsabile dello sviluppo del sistema e condividere la prova della sua insicurezza.
  3. Se si ottiene una risposta sfavorevole dalla società/proprietario che equivale a non essere disposti a correggere il sistema per garantire la propria soddisfazione, passare a un altro sistema.
1
Bernard

Quali sono le migliori pratiche nel trattare con quel sistema:

Non utilizzare quel sistema con informazioni sensibili. Considera quali sarebbero i problemi per te in caso di perdita di dati o se qualcuno inizia a utilizzare il sistema con il tuo login. Se è una situazione vietata, smetti di usare il sistema.

[migliori pratiche nel trattare] e i proprietari di quel sistema:

Registra la tua insoddisfazione tramite e-mail e qualsiasi altro mezzo di contatto: assistenza clienti, telefonata, e-mail di contatto, foruns, blog, wiki ...

riducendo al minimo il rischio per te stesso tramite l'uso del sistema:

se consideri che userai quel sistema comunque, allora non usare la stessa password per quel sistema e nessun altro sistema. Se non riesci a utilizzare la tua email come login, ancora meglio.

o segnalazione dei problemi correlati?

le stesse altre risposte ti hanno detto: registra tutti i tuoi reclami, smetti di usarli.

1
woliveirajr

La modifica della password è già stata suggerita. Modificandolo in "non archiviare le password in testo semplice, si lamenta!" e poi inviandoli via e-mail chiedendo di rimuovere il tuo account ed eliminare tutti i dati personali potrebbe aiutare a sentire il tuo messaggio.

A parte questo, le password in testo normale non rappresentano un grosso problema poiché anche i database delle password con hash possono essere attaccati bruteforce in un ragionevole lasso di tempo al giorno d'oggi, in particolare se i dati con hash non contengono alcun sale .

0
syneticon-dj