Il mio ISP mostra la mia password WiFi sul loro sito pubblico in testo normale. Dovrei essere preoccupato?

Question

Il mio ISP mostra la mia password WiFi sul loro sito pubblico in testo normale. Dovrei essere preoccupato?

#1 da (9 voti)
#2 da (2 voti)
#3 da (2 voti)
#4 da (1 voti)

9

Recentemente ho notato che quando si accede al mio ISP (Spectrum) pubblico, sito esterno a cui è possibile accedere al di fuori della mia rete, posso vedere la password WPA2 della mia rete domestica in testo normale.

Questo significa chiaramente che almeno non sono password di hashing. Ho una password unica generata casualmente per il mio wifi, quindi se il database WiFi del cliente è esposto, il rischio per me è limitato, ma ovviamente lo stesso non è vero per la maggior parte.

Dovrei essere preoccupato per questo? O c'è qualcosa sulle password del router wifi che rende ok non hash la password?

Se c'è un problema qui, come posso spingere Spectrum a proteggere correttamente le loro password?

passwords wifi hash wpa2 isp

posta David Grinberg 13.12.2017 - 21:47

fonte

4 risposte

Leggi altre domande sui tag passwords wifi hash wpa2 isp

Che tipo di fattore è una firma fisica? Suggerimenti per la creazione di un honeypot di SQL injection

score 9 · Answer 1

Ciò che mi sorprende qui non è il fatto che le password siano visualizzate in chiaro, ma che il tuo ISP conservi una copia della tua password wifi. Questo non è qualcosa che devono fare per fornirti internet. È il router che si occupa del wifi, quindi solo il router deve conoscere la password.

Quindi, perché hanno scelto di farlo in questo modo? La mia ipotesi è che sia come una comodità per i loro clienti, consentendo loro di ricordare loro la loro password wifi in un modo semplice. L'hashing della password annullerebbe quindi l'intero scopo di archiviarlo, poiché una password hash non può essere trasformata in testo normale.

Quindi, cosa fare? Non aspettarti di essere in grado di cambiare la politica del tuo ISP. Al massimo, puoi infastidire qualcuno nel servizio clienti. Invece, opterei per l'utilizzo di una password strong e unica. Se ciò non è abbastanza buono per te, puoi acquistare il tuo router wifi da utilizzare, sia come router solo se funziona, sia come secondo router collegato al tuo gateway. (Qui sto prendendo atto che stanno raccogliendo automaticamente le password dai router e che non puoi semplicemente mentirle e dare loro una password falsa.)

E come suggerisce entrop-x , puoi anche solo cambiare ISP.

score 2 · Answer 2

Complimenti per l'utilizzo di password casuali e per non utilizzare lo stesso valore per tutto.

Nel grande schema delle cose, come hanno detto altri, non è un grosso problema. È davvero una cosa di prossimità. Ora, detto questo, opero in un certo livello di paranoia e sarei preoccupato, ecco perché:

Sembra che tu abbia un dispositivo gateway fornito e fornito dal tuo ISP. Ho incontrato questo con Comcast ("xFinity"). Richiedo sempre un E-MTA da loro. Sono sempre sorpresi che non voglio il loro dispositivo gateway (si sono spostati un po 'di volte ..).

Ho giocato un po 'con il loro dispositivo, perché sono rimasto bloccato per un po'. Quando stavano "installando" l'attrezzatura, ho fatto finta di niente con loro per vedere cosa sarebbe successo. La tecnologia ha chiesto quale dovrebbe essere la chiave e l'ha scritta sull'ordine di lavoro. Poi ci è stato mostrato che parte della loro piattaforma "X1" di connessione, consente di parlare al telecomando del televisore e di chiedere "Qual è la mia password WiFi?", E Voila !. A quel punto, avrebbero comunque visto il testo normale, anche se l'avessi inserito io stesso.

Il mio punto di vista è che ritengo che questo sia un giusto livello di esposizione. Ci sono una moltitudine di punti di accesso da cui ottenere la chiave e non ci sono standard di conformità per la memorizzazione (come PCI per carte di credito, HIPAA per cartelle cliniche). Dal momento che non ci sono standard di conformità, mentre "solleverebbe qualche sopracciglio", non c'è nulla di specifico che li "costringa" a crittografare, tokenizzare o altrimenti offuscare i valori, a riposo (database), o in transito ( tra i sistemi, alla TV, al browser).

Sappiamo già che la loro è una relazione tra il tuo indirizzo e la chiave Wifi, quindi il pezzo di mappatura è fatto. Forse è facile come SELECT * FROM CUSTOMER_WIFI . Ora, qualcuno ha solo bisogno di salire in macchina. Pensi che qualcuno del tuo ISP viva nelle vicinanze? Forse alcuni impiegati che vogliono divertirsi un po 'di tecnologia il venerdì sera?

Solo alcuni spunti di riflessione.

score 2 · Answer 3

Should I be worried about this?

Sì. La tua rete locale dovrebbe essere il più sicura possibile. Ancora più importante, il tuo ISP dovrebbe essere responsabile della pipe tra la tua rete locale (che è di tua competenza e include l'accesso ai tuoi dispositivi) e Internet (che è più o meno Wild Wild West).

Per tutte le altre risposte riguardanti "è solo un problema per le persone che sono vicine a ottenerlo", una volta che è trapelato su Internet, tutte le persone che sono già abbastanza vicine e i loro bambini adolescenti e preadolescenti annoiati essere in grado di trovare quella password wifi.

Or is there something about router wifi passwords that makes it ok to not hash the password?

La tua domanda è basata su ipotesi fondanti errate. Un sito web dovrebbe infatti utilizzare un algoritmo di hashing della password se memorizza le password con cui autenticare i propri utenti; ovvero qualunque sia il loro utente che accede con.

Nel tuo caso, l'ISP sta memorizzando qualcosa che NON si sta collegando al sito THEIR con; la domanda non è il modo in cui la memorizzano, la domanda è come impedisci loro di conservarlo interamente, poiché non c'è bisogno che loro lo abbiano affatto.

Si noti che questo è triplicamente vero per una password wifi - a differenza delle buone password di crittografia di archiviazione, dove se si perde la password, si perdono i dati, se si perde la password wifi, basta resettarla sul punto di accesso / router e i tuoi dispositivi, che hanno il vantaggio collaterale di rendere tutti gli altri con esso in grado di entrare più (se lo fai bene).

If there is a problem here, how can I pressure Spectrum to properly secure their passwords?

Come fai a premere Spectrum? Vai a un altro ISP che non mantiene le tue password wifi e informa Spectrum del perché stai andando.

Come risolvete il problema di avere una password che non dovrebbero? Acquisti il tuo punto di accesso o il punto di accesso + firewall , o router wifi domestico /" firewall ", cambia la password Wi-Fi Spectrum in qualcosa di lungo e casuale, quindi disattiva completamente il wifi Spectrum, usando solo il tuo dispositivo, idealmente dietro il tuo firewall per proteggerti da Spectrum.

score 1 · Answer 4

Probabilmente non è un grosso problema avere la tua password wifi.

Le password Wifi sono utili solo alle persone vicine, quindi, anche se compromesse dal database, per lo più non ci si aspetta che possano essere sfruttate convenientemente, il che equivale a dire se non ci si aspetta che sia prezioso.

Se hai un SSID di rete univoco o il tuo indirizzo fisico è memorizzato con esso, c'è qualche possibilità che qualcuno locale possa attaccarti nel caso di un dump pubblicato, ma è probabile che ci siano abbastanza reti protette non protette o "password1" nel tuo vicinato che nessuno si preoccuperebbe.

Più preoccupazioni in una violazione è che il tuo account con Spectrum è molto probabilmente collegato ad altri dati personali come i dati della carta di credito.

Tuttavia è preoccupante che abbiano acquisito la tua password wifi.

Come è nata questa password nel loro database? Se non lo hai dato a loro il tuo router ha fatto, il che significa che sta segnalando su di te, e potrebbe significare che hanno accesso remoto ad esso. Se lo fanno, viene rilasciato quel login che è preoccupante perché potrebbe essere sfruttato da chiunque da qualsiasi parte.