fa cPanel memorizza la mia password di accesso come testo in chiaro

Naviga le tue risposte
4

Nel tentativo di modificare la mia password cPanel mi è stato detto che: 

Your password could not be changed because the new password failed with the following reason : (is too similar to the old one), please try again!

Che è corretto, le mie vecchie e nuove password differiscono di un singolo carattere. Tuttavia ciò pone la domanda su come esattamente il codice cPanel conosca la mia vecchia password in testo semplice. Non dovrebbe essere hash?

    
posta Yordan Pavlov 24.07.2014 - 18:02
fonte

3 risposte

5

Ho appena effettuato l'accesso a cPanel e quando clicco per cambiare la password mi chiede tre cose:

  1. La mia vecchia password
  2. Una nuova password
  3. Conferma della nuova password

Schermata:

Si dice anche che la vecchia password non può essere vuota.

Questo potrebbe non essere esattamente il modo in cui cPanel lo fa, ma è una possibilità:

  1. Dato che hai inviato la tua vecchia password a cPanel, può cancellarla e vedere se è uguale alla tua password mentre stai ancora salvando una copia della tua password non modificata (in memoria non sul disco)
  2. Da quando ha confermato i vecchi hash delle password al valore corretto, può eseguire test sulla versione in testo semplice (che hai appena inviato a malapena) e dare un errore se uno dei test fallisce
  3. Se la nuova password e la conferma corrispondono, memorizza la nuova password.

Rispondi perché conosce la tua vecchia password:

L'hai appena dato in modo che conosca la tua password precedente e la memorizzi nella RAM (non sul disco). Questo presuppone che tu stia facendo riferimento alla tua ultima password (quella che stai attualmente modificando) e non a quella che hai usato in una precedente iterazione.

    
risposta data 24.07.2014 - 21:48
fonte
2

@Travis Pessetto molto probabilmente ha la risposta corretta alla tua domanda.

Volevo solo sottolineare che alcuni posti lo faranno senza conoscere la tua vecchia password in chiaro. Questo può essere fatto generando permutazioni della tua nuova password e confrontando ogni hash con il tuo hash della vecchia password. 

Old Hash (Plaintext Unknown):
0bc16e0e8b0ed0be12f1360c70c235dd9f3127280630952e3b933c194ed406f3

New Password:
sha256('password2014')
9e9c74820bebfabb92e40b649e9954bec87f38d63a44f4b2d96eb8f3f4a21548

Check Permutations:
sha256('password2015')
8c1e97296199cc50361b252ba05b5d6b97d389a841185ba8e6fc311b390c69ce
sha256('password2013')
0bc16e0e8b0ed0be12f1360c70c235dd9f3127280630952e3b933c194ed406f3

Match Found! New password is too similar to old password!

Nota: sha256 è un algoritmo di hashing veloce, l'ho usato solo per un semplice esempio.

    
risposta data 24.07.2014 - 22:26
fonte
1

Ho appena ricevuto una email dalla mia società di hosting. Era un collegamento al nuovo punto di accesso cPanel per i miei siti e l'e-mail includeva il mio nome utente e password cPanel come testo normale. Questo è stato a dir poco inquietante. Mi porta qui dove non vedo una risposta verificata, ma sono portato a credere che sì è memorizzato come testo normale da qualche parte a meno che la mia società di hosting non stia memorizzandola da qualche parte da qualche parte.

    
risposta data 18.01.2018 - 21:35
fonte

Leggi altre domande sui tag

_ _ VIEWSTATE su Protect Against CSRF È sicuro esporre ObjectID MongoDB agli utenti (ad esempio nell'URI)?