Aziende di web hosting che richiedono password in testo normale

Essendo leggermente nel settore dell'hosting, capisco cosa intendi. Per dirla in parole semplici, è una pratica estremamente negativa chiedere ai clienti di fornire le loro password in formato testo, ma tutte le aziende lo fanno. Chiedono la password completa o semplicemente alcuni caratteri dalla fine.

Il mio punto è che, in alcuni luoghi come i server dedicati, è impossibile fornire supporto senza chiedere la password di admin / root in molti casi, quindi ancora per i server condivisi il supporto dovrebbe essere in grado di entrare direttamente con i propri account.

Suppongo almeno che abbia usato la tua password per confrontarla con un hash memorizzato, ma le procedure di sicurezza possono essere imperfette in molte di queste società di hosting. Lo dico in modo definitivo perché so che cPanel, Plesk, ecc. Non memorizzano le password in testo semplice, quindi non avrebbe modo di "leggerlo".

Dovresti comunque cambiare le tue credenziali ogni volta che contatti l'assistenza . Dovresti anche scrivere su questo su un forum aperto in modo che l'ospite intraprenda una buona iniziativa per prevenire tali errori in quanto possono facilmente utilizzare una risposta a una domanda secondaria o una telefonata, ecc. Per verificare la propria identità.

Di solito i provider di hosting non devono chiedere i dettagli personali del cliente (come password per pannello di controllo, pannello di amministrazione o FTP) tramite live chat. Queste informazioni dovrebbero essere fornite tramite i biglietti da e verso l'indirizzo e-mail di contatto del cliente che in precedenza aveva utilizzato per registrarsi presso la società di hosting.

Should I be changing my password every time I make a support request?

Sì (idealmente preferiresti che la tecnologia specifica non sia in grado di accedere banalmente come te in un momento futuro). Sebbene riconosca che se si utilizza un servizio di terze parti per l'hosting Web (anche se si tratta di un VPS) non si dovrebbe riutilizzare la password da nessun'altra parte (e idealmente si utilizzerebbe una chiave privata ssh il 90% delle volte). In linea di principio, un servizio di terze parti inaffidabile potrebbe facilmente eseguire segretamente un keylogger / rootkit che cattura le password (soprattutto se hai appena selezionato una VM introduttiva che hanno preso in considerazione). Questo sarebbe abbastanza non etico; ma

Furthermore, they MUST be storing passwords for user accounts in plain-text somewhere, correct?

È possibile. Se chiedono la tua password completa; potrebbero semplicemente provare a vedere se funziona dalla loro fine (ad esempio confrontandolo direttamente con un hash memorizzato o semplicemente accedendo al sistema come te). Se chiedono una password parziale; più probabilmente di quanto non lo stanno memorizzando in testo in chiaro o crittografandolo (e avere la chiave per decodificarlo in testo in chiaro). Se sono amministratori e si occupano delle impostazioni dell'account (per esempio, a fini di fatturazione, acquisto di nuovi servizi), non dovrebbero dover effettuare il login come te; ma dovrebbe avere un account amministratore che conceda loro le autorizzazioni per vedere / modificare le impostazioni dell'account.

Dipende davvero dall'ambiente e dal problema che stai affrontando. Idealmente, non si condividono mai le password (il cui dirlo è che il dipendente non lo sta scrivendo e poi proverà a usare le proprie informazioni per entrare nella tua email / banca / etc se hai riutilizzato le password). Tuttavia, se si dispone di un VPS (non hosting condiviso) e si stanno segnalando problemi che potrebbero essere correlati all'hardware; controllano i registri alla loro estremità e non vedono nulla di sospetto e vogliono ricontrollare che le cose siano sistemate in modo sano, potrebbero voler provare ad accedere alla propria macchina virtuale per guardarsi intorno ed eseguire alcuni test diagnostici; e potrebbe essere più facile per loro mettersi alla prova e parlare con te per telefono / web chat e averli a cercarli (e dover sempre leggere lo schermo o gestire i comandi di digitazione).