L'host webmail conosce la mia password

Naviga le tue risposte
23

Ho dimenticato la password di un account webmail e non avevano un processo di recupero automatico della password. Quindi ho dovuto chattare con il loro supporto e mi hanno chiesto alcune domande di verifica, poi ho continuato a dirmi la mia password.

Se conoscono la mia password non significa una delle due cose?

Le password sono archiviate in testo chiaro e possono essere visualizzate o visualizzate hanno una sorta di hash bidirezionale e possono decifrare la password. In quale altro modo avrebbero potuto sapere qual era la mia password?

Questo è un grande ISP nazionale e mi mette molto a disagio sapendo che possono cercare la mia password ogni volta che vogliono. Qualcuno può confermare che questo è un grosso problema di sicurezza e non dovrebbero farlo.

Grazie

    
posta Mike 15.11.2012 - 04:38
fonte

3 risposte

41

MODIFICA LA PASSWORD è stato compromesso.

Informare cortesemente questo fornitore di servizi che si tratta di una vulnerabilità molto grave. Le password devono essere ripristinate e non deve mai essere memorizzato in un formato recuperabile . Inoltre, questo è il tipo di vulnerabilità è imperdonabile, utilizzare un altro servizio al più presto. Di 'loro che non stai più utilizzando il loro servizio per problemi di sicurezza molto seri. Se hanno commesso questo errore, pensate agli altri problemi di sicurezza che stanno peggiorando.

    
risposta data 15.11.2012 - 04:44
fonte
18

Sicuramente non va bene. Oltre alla limitazione del danno (cambiare le password se usi la stessa password in altri luoghi, che tutti sappiamo essere una cattiva idea, ma succede ancora troppo spesso), e guardando i fornitori alternativi, ti suggerisco di nominarli e farli vergognare, qui e su Offender testo normale . In realtà, il fatto che un uomo possa cercare questo è in molti modi anche peggio di quello troppo comune "il server potrebbe sembrare it up e inviami una email ".

    
risposta data 15.11.2012 - 08:53
fonte
7

Questa non è una buona pratica, ma purtroppo è comune con molti grandi fornitori. Dovresti mettere in discussione le loro pratiche e procedure di sicurezza. Se non ti forniscono una quantità sufficiente di informazioni o non sono disposti a soddisfare le tue esigenze di sicurezza, allora dovresti cambiare fornitore.

Alcune domande che potresti porre:

  • Come vengono protette le informazioni personali e riservate? vale a dire. password
  • In che modo un membro del personale ha potuto visualizzare la mia password in testo semplice?
  • Perché non esiste una funzionalità di reimpostazione della password per gli account di posta elettronica?
risposta data 15.11.2012 - 05:00
fonte

Leggi altre domande sui tag

Come si potrebbe sapere se hanno un rootkit? Perché "www." è considerato non sicuro in questo URL HTTPS?