Cosa fare sui siti Web che memorizzano password di testo normale

Non c'è molto che tu possa fare, oltre a contattare il sito Web e cercare di spiegargli quanto è spiacevole un'idea e come esercitarsi a memorizzare (e inviare via email) le password in testo semplice.

Una cosa che puoi fare è segnalare qualsiasi sito offendente a plaintextoffenders.com - un sito (attualmente un blog tumblr, ma stiamo lavorando su presto un sito appropriato) che elenca diversi "autori di testo in chiaro": siti che inviano tramite e-mail la tua password, esponendo il fatto che lo memorizzano in testo normale o utilizzando una crittografia reversibile, che è altrettanto negativa.

Con tutto ciò che è successo con Sony , ancora e ancora, le persone diventano più consapevoli dei pericoli dei siti che memorizzano dettagli sensibili non criptati, eppure molti non lo sono ancora. Ci sono oltre 300 siti segnalati, con più rapporti che arrivano ogni giorno!

Speriamo che plaintextoffenders.com aiuti a esporre sempre più siti. Una volta che questo ottiene sufficiente attenzione su twitter o altri social media, a volte i siti cambiano la loro strada e risolvono il problema! Ad esempio, Smashing Magazine e Pingdom ha cambiato di recente il modo in cui gestiscono le password e non memorizza più né invia per email le password in testo semplice!

Il problema è consapevolezza, e spero che aiuteremo la causa con plaintextoffenders.

Memorizzare una password in chiaro non è un problema - almeno, molto meno che inviare la suddetta password in un testo semplice email !

Questa email dimostra semplicemente che gli amministratori del sito web non sono molto attenti con le informazioni che gli vengono affidate, e questo è un buon motivo per non affidare loro ulteriori dati.

Usa una password diversa per ogni sito. In questo modo, quando la password viene compromessa (sia spionando su trasmissioni di e-mail in chiaro, sia anche se un database con password hash / salate correttamente viene violato), l'autore dell'attacco sarà in grado di accedere al tuo account solo su quel sito, anziché su tutti i siti su cui hai credenziali dell'account simili.

... e così non devi ricordare una zillion di password: Il PwdHash di Stanford è una pratica estensione per il browser che genera automaticamente password univoche hashing una password comune che inserisci con il dominio del sito.

Ecco perché è consigliabile utilizzare un'altra password su ciascun sito.

Prova a inviarli via e-mail per eliminare il tuo account. Altrimenti non usare quel sito e in realtà, usa / genera un'altra password (e lunga!) Su ogni sito al quale ti stai registrando. Non sai mai quali memorizzano semplici password nel loro database

Invia loro una e-mail che chiede di essere rimossa dal loro database.

Non fornire ulteriori informazioni su di te a loro

Assicurati di non usare quella password ovunque.

Direi che dal momento che la password è disponibile per il mondo, basta aggiornarla a una password che non si sta utilizzando da nessun'altra parte. Quindi nessuno può hackerare le tue informazioni su nessun altro sito usando la password su questo sito. Esempio potrebbe essere se la tua email è il tuo login e stai usando la password di questo sito come password per la tua email.

Oltre a questo, se desideri offrire un servizio efficace per il sito Web con la memorizzazione delle password e inviare loro il link di questo thread di stackoverflow.

Se trasmette le password in testo semplice, è una "vulnerabilità".

Il primo passo è trovare una prova, ad esempio eseguendo Wireshark per acquisire le password così come vengono inviate sul filo.

Il secondo passo è contattare l'azienda, ad esempio inviando un'e-mail a "[email protected]". Gli indirizzi email "secure @" e "security @" sono le caselle di posta elettronica create dalle società se sono interessate da tali scoperte.

Salva le risposte che ricevi dalla società.

Quando diventa ovvio che la società non ha intenzione di risolverlo, quindi pubblica un messaggio nella sezione " full-disclosure " mailing list. Descrivi sinteticamente il problema, mostra la dimostrazione e mostra la risposta.

Leggi i messaggi di posta elettronica nella lista di divulgazione completa per vedere come hanno fatto le altre persone.

1. Non utilizzare un sistema che puoi dimostrare di non essere sicuro se ne hai bisogno per essere sicuro.
2. Contatta la società / il proprietario responsabile dello sviluppo del sistema e condividi la prova della sua insicurezza.
3. Se ricevi una risposta sfavorevole da parte dell'azienda / proprietario che equivale a non essere disposto a correggere il sistema in modo che sia sicuro per la tua soddisfazione, passa a un altro sistema.

Quali sono le migliori pratiche nell'affrontare quel sistema :

Non usare quel sistema con informazioni sensibili. Considera quali sarebbero i problemi per te se ci fosse qualche perdita di dati o se qualcuno cominciasse a usare il sistema con il tuo login. Se si tratta di una situazione di non utilizzo, interrompere l'uso del sistema.

[best practice in dealing] e i proprietari di quel sistema :

Registra la tua insoddisfazione tramite e-mail e qualsiasi altro mezzo di contatto: assistenza clienti, telefonata, e-mail di contatto, forum, blog, wiki ...

riducendo al minimo i rischi per te stesso tramite l'uso del sistema :

se consideri che userai comunque quel sistema, allora non usare la stessa password per quel sistema e qualsiasi altro sistema. Se non puoi usare la tua email come login, ancora meglio.

o segnalazione dei problemi correlati?

le stesse altre risposte ti hanno detto: registra tutti i tuoi reclami, smetti di usarli.

La modifica della password è già stata suggerita. Cambiandolo in "non memorizzare le password in testo normale, si lamer!" e quindi inviarli via e-mail chiedendo di rimuovere il tuo account ed eliminare tutti i dati personali potrebbe aiutarti a sentire il tuo messaggio.

A parte questo, le password in testo semplice non sono un gran problema dal momento che anche i database delle password con hash possono essere attaccati alla bruteforce in un tempo ragionevole, specialmente se i dati dell'hash non contengono sale .

Qual è la differenza tra l'archiviazione e l'invio tramite e-mail di una password in chiaro e l'invio tramite e-mail di un collegamento univoco a una pagina per reimpostare la password quando la dimentichi?

Suppongo che se usi la stessa password su un altro sito potrebbe significare che un hacker può accedere agli altri tuoi account. O se interrompono l'intero sito e si impadroniscono del database, e anche allora, cosa impedisce loro di ottenere i sali utilizzati per crittografare le tue password.

L'invio delle password in formato testo (o contenente un collegamento univoco a un modulo di ripristino) via e-mail non fa alcuna differenza per la loro capacità di entrare nel sito se l'hacker ha accesso alla tua e-mail. Sei fondamentalmente fottuto a meno che il sito non abbia una politica che ti mandi le password solo quando le dimentichi, o richiede un token di autenticazione come i dispositivi chip-and-pin che ora richiedono i banchi.

Non c'è niente di sbagliato con la memorizzazione delle password in chiaro. In effetti, in qualche modo è la soluzione migliore.

[not] storing passwords in plaintext limits the security of communications.

it is more secure to send passwords encrypted over the network, and store them in plaintext on the database, than sending the passwords in plaintext over the network and store them encrypted on the database.

In other words, the server needs to know the user password to support the most secure authentication mechanisms.

source: ejabberd Book, chapter Memorizza le password in chiaro nel database per sicurezza ( link )