L'e-mail di conferma della registrazione contiene la mia password: la mantengono in chiaro?

27

Sono rimasto scioccato quando ho appena ricevuto la mia mail di conferma dal negozio in cui mi sono appena registrato: hanno inviato il mio nome utente (che è il mio indirizzo email) e la password che ho digitato. La password non è stata parzialmente sostituita con * s o simili; era la password nuda e vuota che ho scelto.

Significa che le persone che possono controllare le e-mail inviate dal negozio potrebbero teoricamente vedere i miei dati di accesso, vero? Credo che sia la prima volta che ottengo una conferma con le mie informazioni di accesso complete, quindi questo sembra davvero strano e in qualche modo mi riguarda. Dovrebbe?

Dal fatto che ho ricevuto la mia password via email, suppongo che il negozio non cripta la mia password. Questa è un'inferenza valida?

    
posta Alex 17.06.2014 - 10:31
fonte

4 risposte

42

L'invio della password in testo normale non significa necessariamente che il database lo memorizzi in testo normale, specialmente se ti hanno inviato l'e-mail prima di crittografare e archiviare la password. Tuttavia, se chiedi la password più tardi (ad esempio il meccanismo "password dimenticata") e te la inviano in questo modo, implica che stanno memorizzando in testo normale o stanno utilizzando una crittografia facilmente reversibile. In entrambi i casi, la ragione è è preoccupante a meno che non solo ti invii la password alla registrazione e prima memorizzandola sul loro server in formato crittografato .

In particolare:

  • Se hanno un link "dimenticato la mia password" che ti invia la password che avevi precedentemente impostato, allora sì, c'è motivo di preoccuparsi: stanno memorizzando la password in chiaro o usando la crittografia reversibile.

  • Se ti inviano una nuova password, allora non significa necessariamente che stanno memorizzando la password in chiaro o utilizzando la crittografia reversibile. In tal caso, non disponi di informazioni sufficienti per sapere se ci sono motivi di preoccupazione.

Un altro problema è che, in ogni caso, l'e-mail non è un mezzo sicuro per l'invio di password. Pertanto, anche se non stanno memorizzando la password in chiaro, se la stanno inviando via email in chiaro, ciò rappresenta un rischio.

secondo trasgressori di testo normale :

Man in the middle attacks are easy to pull off between server and the comminucation protocol in itself is not encrypted.

    
risposta data 17.06.2014 - 10:37
fonte
4

I negozi non devono inviare password tramite posta elettronica. Uno dei motivi è la risposta a una delle domande:

sì, le persone che possono controllare quelle email inviate dal loro negozio potrebbero teoricamente [ancora si, se lasci questa parola] guarda i miei dati di accesso .

Anche gli attacchi Man in the middle potrebbero avere successo se il negozio utilizza httpS, ma accetta anche http, vedi consulenza bancaria in Paesi Bassi .

    
risposta data 17.06.2014 - 13:08
fonte
4

Bene, solo perché ti hanno inviato una password in testo semplice non significa che non utilizzino la crittografia quando memorizzi la tua password.

Prima di tutto, all'interno della crittografia ci sono hash e crittografia. Non devono né crittografare né memorizzare la password in testo semplice. Dovrebbero farlo con hash.

Funzione di crittografia : una funzione bidirezionale che trasforma i dati in un modo che è difficile / quasi impossibile da invertire senza conoscere la chiave di decrittazione (non ti annoierò sui tipi di chiave).

Funzione hash : una funzione unica che trasforma i dati in una firma univoca con la quale è apparentemente impossibile determinare quasi tutto ciò che riguarda i dati originali (lunghezza, testo inserito, ecc.). Gli hash sono impossibili da invertire e possono essere scoperti solo da brute-forcing / rainbow table. La forzatura bruta è impossibile anche con enormi quantità di potenza computazionale. Le tabelle Rainbow possono essere contrastate se il sito Web utilizza ciò che chiamiamo "salt" quando genera il proprio hash.

Quindi, il sito Web non dovrebbe nemmeno memorizzare la password crittografata, ma certamente non dovrebbe memorizzarla in testo semplice.

Tuttavia, ciò che potrebbe accadere qui è semplice. Quando ti registri, lo script chiamato potrebbe automaticamente hash la tua password, aggiungere l'hash al database e, all'interno della stessa istanza, inviare l'email usando la funzione mail() di PHP. Usando questa funzione, la password in chiaro non verrebbe mai memorizzata all'interno di una cartella "Posta inviata" poiché la funzione mail() non utilizza un'e-mail stabilita da cui inviare.

L'invio della password in testo semplice all'utente tramite e-mail è ancora molto insicuro, ma questo non significa necessariamente che non lo memorizzino sulla loro estremità in modo sicuro.

Versione abbreviata :

So che è stato prolisso e tecnico, ma la versione breve è che quando ti registri, potrebbero inviarlo via e-mail in chiaro, ma poi archiviarlo in modo irrimediabile. È ancora un difetto di sicurezza, ma, se lo fanno, non è così importante. Solo perché l'hanno inviato come e-mail non significa necessariamente che sia archiviato in una cartella "Posta inviata".

    
risposta data 17.06.2014 - 20:17
fonte
2

Ok - molte buone risposte qui su password in chiaro, hash e archiviazione ...

Ma la preoccupazione più convincente è:

L'e-mail di solito non è un modo safa di trasmettere dati. Probabilmente è quasi sicuro come si urla un messaggio dall'altra parte della strada, dove qualcuno lo sentirà e lo ripeterà nella direzione specificata come indirizzo di destinazione ...

Non importa quanto sia sicuro il loro server, con E-Mail di solito non hai crittografia nell'invio e in molti casi nessuna autenticazione. Quindi c'è un sacco di uomini nel mezzo degli attacchi per ottenere il contenuto di quel messaggio di posta elettronica, che è molto probabilmente memorizzato e analizzato sulla sua strada da vari scanner di virus / spam, analisi della pubblicità e chissà quali strumenti ... Il contenuto del messaggio di posta elettronica, inclusa la password in chiaro potrebbe circolare su innumerevoli macchine di una rete di scansione di spam o di indicizzazione del testo ...

    
risposta data 18.06.2014 - 15:41
fonte

Leggi altre domande sui tag