Se un sito Web consente a un'altra persona di ottenere un elenco delle password degli utenti del sito, quanto è probabile che le password siano archiviate in chiaro?

18

Abbiamo avuto un incidente in cui alcuni dei nostri manager hanno ricevuto password per le persone che supervisionavano utilizzando un particolare sito web aziendale. Apparentemente è stato fatto in modo che i gestori potessero controllare gli utenti e vedere che stanno facendo ciò che sono stati diretti a fare con questo sito web di terze parti.

Quando ho scoperto che un elenco delle password è stato stampato e consegnato ai gestori, ho immediatamente pensato che le password sul sito Web commerciale non venivano archiviate in modo sicuro e avvisavano gli utenti che dovevano immediatamente modificare qualsiasi password che quasi coincidevano con i loro account "usa e getta"; Ho anche paura che, essendo umani tipici, ci sia un numero di persone che usa la stessa password su quel sito che usano con il nostro sistema di password interno, quindi non hanno bisogno di ricordare più di una password. Sono rimasto scioccato dal fatto che gli utenti non siano stati avvertiti che le loro password sarebbero state distribuite ad altre persone / supervisori.

Sono andato al sito Web in questione e ho fatto clic sul link relativo alla privacy policy; ha restituito un errore 404.

  1. Ero paranoico?

  2. Quali sono le possibilità che il sito Web commerciale stia memorizzando le proprie password in chiaro se un manager è in grado di recuperare a elenco di password in chiaro?

posta Bart Silverstrim 28.09.2011 - 15:25
fonte

4 risposte

21

No, non sei paranoico. È molto probabile che le password siano archiviate come testo in chiaro nel database (è la spiegazione più ovvia). Alcune stime dicono che il 30% dei siti web memorizzano (o hanno memorizzato) le password degli utenti in chiaro. Gli esempi includono Reddit.com o RockYou.com. Solitamente è solo dopo una grave violazione che le procedure di archiviazione della password vengono messe alla prova.

Spesso i siti che memorizzano le password in testo in chiaro ti offrono la possibilità di reinviare la vecchia password una volta dimenticata. Questo praticamente prova questa pratica insicura.

Esiste la possibilità che le password vengano archiviate crittografate e decifrate per il report, ma è una pratica rara. Anche se le password sono crittografate, ci sarà sempre un problema di memorizzazione delle chiavi in quanto l'applicazione probabilmente avrà bisogno di accedere alla chiave di decrittografia per autenticare i suoi utenti.

Ovviamente la cosa giusta da fare per l'applicazione è salt e hash le password .

    
risposta data 28.09.2011 - 15:47
fonte
9

Il problema non è memorizzare le password in chiaro, è memorizzare le password in qualsiasi formato facilmente recuperabile. Le password chiare sono l'esempio più semplice.

Qualunque password che possa essere inviata a un manager è, per definizione, recuperabile e chissà su chi altri invierà la tua password in modo utile?

    
risposta data 28.09.2011 - 17:07
fonte
8
  1. No
  2. 100%

Sembra uno di quei rimandi al peggior design possibile. I manager dovrebbero avere le autorizzazioni per visualizzare il lavoro dei dipendenti, ma ciò richiede che il sito supporti un modello di autorizzazioni adeguato. I manager dovrebbero essere in grado di vedere un registro delle attività, ma ciò richiede che il sito supporti livelli di registrazione utili e un'interfaccia di presentazione decente. Dal momento che quelle cose richiedono lavoro, hanno appena distribuito password. Questo è davvero il bush league.

Almeno il sito web è onesto in un certo senso; la loro politica sulla privacy è "non trovata".

    
risposta data 28.09.2011 - 15:39
fonte
3

è possibile che utilizzino la crittografia asimmetrica per archiviare le password e mantengano la chiave privata molto sicura (una chiavetta USB nella cassastrong del gestore) e utilizzino la chiave pubblica come parte dell'unica parola "hash" per archiviarla nel DB e verificarlo

ma in realtà chi penserebbe di farlo; in questo caso è più semplice usare solo un vero hash o una crittografia simmetrica (quasi altrettanto male di un testo in chiaro)

    
risposta data 29.09.2011 - 01:26
fonte

Leggi altre domande sui tag