Ho alcuni domini / siti web e anche email con Bluehost. Ogni volta che ho bisogno di supporto, hanno bisogno degli ultimi 4 caratteri della mia password principale per l'account. Non possono dirmi come memorizzano la password, quindi sono incuriosito da come potrebbero memorizzare le mie password in modo sicuro e vedere ancora gli ultimi 4 caratteri. Vedono la password completa in testo semplice?
Ci sono molte possibilità.
Potrebbero memorizzare la password completa in testo semplice e solo visualizzazione degli ultimi 4 caratteri alla persona di supporto.
Potrebbero esserci due volte la password. Una volta hashing la password completa, e di nuovo con solo l'ultimo 4. Quindi la persona di supporto digita l'ultimo 4 per vedere se corrisponde al valore dell'hash. Il problema con questo è che rende più facile forzare la password completa poiché gli ultimi 4 caratteri sono in un hash separato, riducendo l'entropia.
Potrebbero esserci hashing della password completa e memorizzare gli ultimi 4 in testo in chiaro. Ovviamente questo rende molto più facile la forza bruta del password se un utente malintenzionato che accede al database delle password conosce le ultime 4 cifre.
Qualcos'altro in cui gli ultimi 4 caratteri sono memorizzati in qualche modo quello è scoprire in grado, come la crittografia che Mike Scott menziona di seguito. Se il segreto per sbloccare i 4 caratteri può essere scoperto, questo è male come testo normale.
Tutti gli scenari sono pessimi e riducono notevolmente la sicurezza del sistema. Non è possibile sapere quale scenario stanno usando, ma ognuno di essi mostra una mancanza di considerazione per le violazioni della sicurezza. Ti suggerisco cautela se si tratta di un sito in cui ti interessa che il tuo account venga violato.
È sempre difficile rispondere a tali domande poiché non siamo nei segreti di Bluehost, quindi possiamo solo indovinare e fare supposizioni.
Tuttavia, il comportamento che descrivi rimane possibile senza memorizzare alcuna password in formato chiaro:
BlueHost consiglia regole ragionevoli per password complesse , quindi probabilmente impiegano almeno una persona che sa cosa sta facendo .
Supponendo che, BlueHost potrebbe utilizzare un'implementazione di Condivisione segreta di Shamir o di un variazione su quel tema . Shamir's è teoricamente sicuro, quindi non salto subito alla conclusione (come hanno altre risposte) che qualsiasi schema che lo fa sia intrinsecamente meno sicuro.
D'altra parte, l'implementazione di Shamir's non è banale, quindi una delle altre risposte potrebbe ugualmente applicarsi. Poiché la sicurezza è in definitiva su trust , se ti senti insicuro con questo schema, ti suggerisco di trovare un altro fornitore!
Non posso dirti esattamente come memorizzano la password. Ma dalla tua descrizione del loro processo possiamo dimostrare che la password deve essere memorizzata in modo non sicuro.
Suppongo che quando chiedono gli ultimi quattro personaggi saranno effettivamente in grado di verificare la correttezza di ciò che gli hai detto (in altre parole, non stanno semplicemente bluffando).
Questo significa che hanno dati che permetteranno loro di verificare i personaggi che hai detto loro in un breve lasso di tempo. Gli stessi dati possono essere utilizzati in un attacco di forza bruta per interrompere gli ultimi quattro caratteri della password. Quattro personaggi sono certamente troppo corti per fermare un determinato aggressore.
Una volta che l'attaccante ha gli ultimi quattro personaggi, è possibile montare un altro attacco sui personaggi precedenti. Per questo attacco di forza bruta gli ultimi quattro caratteri della password non aggiungono sicurezza, quindi nella migliore delle ipotesi si ha la sicurezza equivalente di una password di quattro caratteri inferiore a quella effettiva.
Potrebbe essere possibile aggirare la vulnerabilità scegliendo una password sicura e quindi aggiungere quattro caratteri aggiuntivi scelti completamente indipendenti dalla password scelta in un primo momento. Questo sarà sicuro se possono solo verificare gli ultimi quattro caratteri e non un suffisso di lunghezza arbitraria.
Se sono effettivamente in grado di verificare un suffisso di lunghezza arbitraria e non solo quelli di esattamente quattro caratteri, la memorizzazione della password sarebbe ancora più debole. Ciò sarebbe insicuro quanto archiviarlo come testo in chiaro, e in tal caso non puoi aggirare il problema scegliendo una password più strong.
Come sapete, una password deve essere cancellata prima di essere archiviata, quindi dovete chiedervi tempo o no stanno memorizzando gli ultimi 4 caratteri ai fini dell'autorizzazione verbale e poi l'hashing della password prima di memorizzarla, oppure sono semplicemente memorizzandolo in chiaro.
Indoverei quest'ultimo.
Non penso sia probabile, solo possibile.
Ogni volta che OP ha bisogno di supporto, chiedono le ultime 4 cifre della sua password. Salgono e si mescolano e conservano il sale e l'hash e informazioni sufficienti per ricostruire il supporto in una speciale tabella di supporto.
Quindi, quando l'OP si collega (con la password completa), possono controllare la tabella di supporto e calcolare gli hash. Quindi commettono i "supporti" verificati e ripudiano i "supporti" falsificati.
Questo naturalmente presuppone che
il supporto è qualcosa che può essere commesso o ripudiato in un secondo momento
il processo di richiesta degli ultimi 4 non fa filtrare le informazioni (qualcuno che ti chiede per gli ultimi 4 non si qualifica perché non possiamo cancellare in modo affidabile i loro ricordi).
Non riesco a immaginare una situazione in cui ciò avrebbe senso per gli affari. Ma se lo facesse, penso che manderei ai miei utenti una speciale password di "supporto" a 4 cifre.
Possono vedere la password completa? Sì, è sicuramente possibile che possano indovinare la password (se le ultime 4 cifre sono una data o parti di una parola.) Se la password è hash in piena conoscenza 4 cifre è sufficiente per fare un attacco di forza bruta o anche provare a fare un euristico sulla funzione di hash per vedere come si propagano le 4 cifre riducendo di molto la gamma di possibili password.
Indovina questa password:
*********ange
O questo:
****1994
È anche possibile che siano hacker e sfruttare l'API di assistenza clienti (se presente) per accedere alle informazioni degli utenti, che è ancora più facile conoscendo 4 cifre.
Non dovrebbero farlo, in nessun caso dare una parte della password ad un estraneo è una buona opzione (SOPRATTUTTO, se dopo essere stato licenziato può provare a danneggiare gli utenti, e ci sono molti esempi storici) se è parte del supporto clienti.
Un servizio clienti non dovrebbe avere alcun modo per accedere alla password originale e dovrebbe agire attraverso un'API ad hoc per evitare di fare cose cattive (il supporto non dovrebbe comunque essere in grado di accedere ai dati completi).
Inoltre, se il supporto clienti deve chiedere 4 cifre della password, non puoi inviare email agli utenti con avvertimenti come "non dare mai la tua password perché non la chiediamo" perché in realtà lo stai chiedendo e addestrando i tuoi utenti a dare i dettagli possono aiutarli a farsi prendere dalle e-mail di phishing.
Se vogliono veramente controllare l'autenticità degli utenti, dovrebbero usare roba come codici SMS, domande segrete o solo chiavi inviate tramite e-mail.
Tuttavia, penso che sia molto più economico inviare un'e-mail o un SMS piuttosto che pagare 1-2 minuti a qualcuno che fa la stessa cosa (a meno che non sia davvero una persona sottopagata).
Se un servizio ha davvero bisogno di controllare l'identità dell'utente qualcuno per qualcosa di importante probabilmente userò un flusso di webcam da cui un operatore può vedere il volto dell'utente, quindi chiedergli di fare azioni specifiche (come scrivere una parola su carta e mostrare indietro) per evitare che qualcuno usi un video registrato.
Questo ovviamente non sarà gradito dagli utenti a causa della privacy ^^
Come altri hanno già detto, ci sono molti modi in cui questo provider può proteggere le "ultime quattro cifre" della tua password. Tuttavia, QUALSIASI volta che trasmetti anche solo una parte della tua password, ti stai aprendo per compromettere il tuo account. Una delle cose che nessuno sembra aver menzionato è che le ultime 4 cifre della tua password che digiti nel log della chat probabilmente non vengono crittografate. Ovviamente, i registri delle chat devono essere facilmente accessibili. Anche se segui una regola di complessità della password di base, hai ridotto la lunghezza effettiva della tua password di 4 caratteri. Ora immagina se questa è una password che usi in altri luoghi con una sicurezza più leggera (che purtroppo, molte persone fanno).
TL: DR Questa è una pratica ridicola e vorrei stare lontano da loro a tutti i costi
Potrebbero memorizzare un hash dell'intera password, oltre a un hash degli ultimi quattro caratteri seguiti da 12 caratteri generati casualmente. Se il modo in cui generano i caratteri casuali è sicuro quanto il processo di hashing, questo dovrebbe essere altrettanto sicuro che memorizzare la password da solo.
Leggi altre domande sui tag encryption passwords web-hosting password-management password-policy