Perché un sito web che reimposta la tua password su una delle loro scelte è considerato un autore di testo normale?

44

Cosa c'è di sbagliato nel generare una password per te senza archiviarla?

Come mai MasterCard nell'elenco dei criminali di testo normale ?

    
posta Ulkoma 17.03.2016 - 13:26
fonte

4 risposte

18

Potrebbero esserci 50 sfumature di area grigia per quanto riguarda quanto male sia la violazione. Ecco un ordine suggerito che inizia con il reato peggiore:

  1. L'utente crea la propria password. L'utente dimentica la password e il sistema li invierà tramite e-mail la password creata in origine. Questo è il nonno dei criminali di testo normale perché è vulnerabile a una moltitudine di attacchi. Vettori di attacco disponibili : email intercettata al volo, accesso all'account di posta elettronica in futuro, dump di database con password memorizzate in testo normale o crittografia reversibile. Inoltre, una volta che la password è nota, è possibile che l'utente lo abbia utilizzato o una password simile su altri siti, causando un possibile attacco degli account dell'utente altrove.
  2. L'utente crea la propria password, il sistema invia immediatamente una copia della propria password (per i propri record). Vettori di attacco disponibili : email intercettata al volo, accesso all'account di posta elettronica in futuro, possibile dump del database (in questo caso non sappiamo se il sistema memorizza la password in modo reversibile, potrebbero essere hashing dopo aver inviato l'e-mail). Password condivisa altrove.
  3. L'utente crea la propria password. L'utente dimentica la password e il sistema rigenera una nuova password casuale e ne invia una nuova all'utente all'utente. Vettori di attacco disponibili : email intercettata al volo, accesso all'account email in futuro. Nota: il sistema potrebbe consigliare all'utente di cambiare la propria password, ma l'utente non può farlo.
  4. L'utente crea la propria password. L'utente dimentica la password e il sistema rigenera una nuova password temporanea e ne invia una nuova all'utente all'utente. Vettori di attacco disponibili : email intercettata al volo, accesso all'account email in futuro, se l'utente non ha ancora effettuato l'accesso per cambiare la password. Nota: in genere le password temporanee non scadono fino a dopo il primo accesso.
  5. L'utente crea la propria password. L'utente dimentica la password e il sistema invia un link di reimpostazione della password all'utente. Vettori di attacco disponibili : email intercettata al volo, accesso all'account email in futuro, se l'utente non ha ancora effettuato l'accesso per cambiare la password. Nota: questa è fondamentalmente la stessa cosa della password temporanea.
  6. L'utente crea la propria password. L'utente dimentica la password e il sistema invia un link di reimpostazione della password all'utente che scade dopo un certo periodo di tempo. Vettori di attacco disponibili : email intercettata al volo, accesso all'account email durante il periodo di ripristino se l'utente non ha ancora effettuato l'accesso per cambiare la password.

Note:

  • L'elenco sopra riportato si basa su ciò che l'utente può osservare. Dietro le quinte, ci auguriamo che tutti tranne il n. 1 siano password di hashing in modo sicuro nel caso in cui il database sia mai compromesso, ma ovviamente non puoi saperlo con certezza.
  • La scadenza di una password temporanea o il link di ripristino è utile per lo scenario in cui l'utente richiede il ripristino, quindi si allontana e non torna più a lungo o mai.
  • Dovrebbe esserci una grande linea tracciata tra # 2 e # 3. Le prime 2 opzioni sono considerate cattive e quelle sono i tipi di criminali che gli autori di testo in chiaro cercano di proteggerti. # 3 è incerto, ma se il sito non memorizza alcuna informazione personale probabilmente non è un grosso problema. Se una banca fa # 3 (e sembra che MC stia usando questa opzione), allora personalmente lo dichiarerei un dovrebbe-risolvere al più presto , semplicemente perché se l'utente non cambia la sua password, e qualcuno in futuro comprometterà il loro account di posta elettronica, le loro finanze personali potrebbero essere a rischio. Idealmente, per tutti i nuovi siti e gli aggiornamenti, # 6 dovrebbe essere la strada da percorrere.

Nota finale: se un utente malintenzionato ha aperto l'accesso al proprio account e-mail, si potrebbe obiettare che anche il n. 6 non ti protegge, dal momento che l'utente malintenzionato potrebbe reimpostare la password su un sito bancario, ricevere il link di reset e modificare la tua password, quindi accedi al sito. Questo è assolutamente vero. Tuttavia, la prossima volta che proverai ad accedere al sito non sarai in grado, e spero, arriverà alla conclusione che qualcosa non è giusto, che porterà a un'altra modifica della password e forse anche a una modifica della password sul tuo account di posta elettronica . Alcuni siti ti diranno anche l'ultima volta che hai cambiato la tua password per aiutarti a raggiungere questa conclusione da solo.

    
risposta data 17.03.2016 - 21:11
fonte
52

Poiché la maggior parte degli utenti non modifica la propria password dopo tale reimpostazione e istruisce il browser senza salvare la nuova password e / o il sito non impone agli utenti di modificarlo dopo il loro primo accesso.

Quindi inviano efficacemente la nuova password in testo semplice, quindi sono colpevoli.

Un modo migliore potrebbe essere un One-Time-Token per la reimpostazione della password, preferibilmente inviato tramite posta ordinaria o SMS.

    
risposta data 17.03.2016 - 13:38
fonte
33

Email (SMTP / POP3 / IMAP) è testo in chiaro, quindi è possibile che la password possa essere intercettata sulla rete o archiviata da una terza parte.

    
risposta data 17.03.2016 - 13:45
fonte
19

La descrizione nella sezione About della loro pagina mi dà l'impressione che la definizione di Plain Text Offender dipenda esclusivamente dalla memorizzazione di dati:

A website storing a password in plain text means that your password is there, waiting for someone to come and take it. It doesn’t even matter if you’ve created the strongest possible password. It’s just there.

Whether it’s someone hacking into their servers, using a simple flaw in their site or even stealing their backups, over 30% of sites store plain text passwords.

We’re tired of websites abusing our trust and storing our passwords in plain text, exposing us to danger. Here we put websites we believe to be practicing this to shame.

(sottolineatura mia)

Leggendo questo, sembra che avere una nuova password generata via email non permetta a necessariamente di rendere l'azienda un semplice autore di testo in base alla loro definizione. Questo presuppone che STANNO ancora l'hash della password (e, si spera, salata).

Tuttavia, direi che inviare per e-mail a un utente la propria password non è l'ideale, indipendentemente dai motivi indicati da SmokeDispenser e wireghoul.

    
risposta data 17.03.2016 - 14:11
fonte

Leggi altre domande sui tag