A prima vista, PTO sembra una buona idea nell'educare le persone sulla sicurezza delle password.
D'altra parte, se fossi un attaccante, PTO sarebbe il primo posto in cui vorrei iniziare se volessi iniziare a raccogliere un elenco di password in chiaro.
Questo è il solito dibattito sulla divulgazione delle vulnerabilità : quando trovi una vulnerabilità, che cosa fai fare con esso? Portarlo subito alla vista del pubblico può essere considerato come "aiutare gli aggressori"; tuttavia, discuterne in privato con gli operatori oi fornitori dei sistemi interessati può diventare spiacevole; in particolare, alcuni venditori o proprietari di server sono inclini a considerare tali avvisi privati come un tentativo di estorsione e a chiamare i poliziotti.
Alcuni ricercatori di sicurezza vogliono soldi dal loro lavoro; molti altri vogliono la fama; alcuni vogliono entrambi. Pubblicare immediatamente la questione della sicurezza è di responsabilità discutibile, ma è "più sicuro" per il ricercatore e ha la più alta probabilità di portare fama (e la più bassa probabilità di portare denaro).
Ad aggravare la questione è l'idea che un "autore di testo in chiaro" è un sito progettato e gestito da persone con una conoscenza solo superficiale della sicurezza delle informazioni; quindi, non ci si può aspettare che reagiscano con la prontezza tecnica e il rispetto reciproco che sarebbe più suscettibile di indurre un esito felice (il ricercatore ottiene i soldi e la fama, la vulnerabilità è fissa, il proprietario del server appare come un buon ed efficiente gestore di sicurezza problemi). Dal punto di vista di un ricercatore onesto, tali siti sembrano guai. Puoi avere una tranquilla chat tecnica con Google o Microsoft; con un sito che memorizza le password in chiaro (e, il più delle volte, le invia via email!), il dramma è una possibilità ben definita.
Come altri hanno notato, la memorizzazione di password in chiaro non rende gli attacchi più probabilmente ; li rendono più devastanti quando si verificano. Gli obiettivi non sono più facili, ma più succosi. In questo senso, PTO non in realtà aiuta gli aggressori.
(La strategia generale dell'OPP deve diventare sufficientemente nota al grande pubblico per poter esercitare una certa pressione sui proprietari dei siti, risultando in definitiva in un Web più sicuro del tutto.Questa è l'educazione attraverso il punto e la vergogna - dovrebbe teoricamente lavorare in un mercato libero capitalista, i clienti sono la forza estrema, ma non vedo che la PTO abbia raggiunto quel livello di notorietà già da tempo: hanno bisogno di un logo, di un sito Web più pulito, di video promozionali e di approvazione di George Clooney, almeno.)
Non proprio.
Sapere che example.com è un autore di testo in chiaro non mi aiuta molto negli account che compromettono la massa di quel sito. Io potrei provare a compromettere il loro peering-router per annusare tutte le loro e-mail in uscita, ma ciò sarebbe abbastanza difficile, perché è probabile che quel router sia adeguatamente protetto. Cercare di attaccare il loro sito web è probabilmente più promettente.
Gli scenari di attacco più plausibili che diventano possibili attraverso i colpevoli di testo in chiaro sono rivolti ai singoli utenti e ai tutti siti web che utilizzano, non a tutti gli utenti del singolo servizio. Quando un utente malintenzionato può leggere la comunicazione di posta di un utente privato (molto più plausibile che con un sistema amministrato professionalmente), può ottenere le credenziali di accesso per tutti i servizi che offendono i normali messaggi a cui si iscrivono. Ciò significa che un utente malintenzionato sarebbe interessato a trovare utenti vulnerabili in modo che possano ottenere accessi per siti Web casuali, non trovando un sito Web vulnerabile per ottenere accessi da utenti casuali.
Inoltre, scoprire quali siti sono PTO è banale: devi solo registrare un account e lo sai. La registrazione automatica degli account è qualcosa a cui gli spammer sono spaventosamente efficienti.
Sono d'accordo con l'idea che tutta la conoscenza possa essere usata sia per il bene che per il male, ma nel caso della PTO onestamente credo che il loro obiettivo principale sia quello di "vergognare" i siti che memorizzano le password degli utenti in testo semplice e quindi mettono gli utenti a un rischio per la sicurezza.
Come menzionano sul sito, anche se l'utente era abbastanza intelligente e ha creato la password più potente possibile, se il sito Web lo memorizza in testo normale o utilizza la crittografia facilmente reversibile, allora è vulnerabile.
Penso che si tratti di educare le persone sulla sicurezza delle password, ma anche di criticare o vergognare i siti web che non adottano le precauzioni necessarie per proteggere le informazioni sull'account dei loro utenti.
Leggi altre domande sui tag passwords