Come può un sito conoscere la password non sicura?

Naviga le tue risposte
3

Recentemente ho ricevuto un'email dal mio host web che mi ha informato che avevo una password "non sicura" su uno dei miei account e-mail e che dovevo cambiarla.

La loro definizione di cosa sia una password sicura come password che contiene: 

Mixed case - Always use a combination of uppercase and lowercase characters
Numbers - Always use a mixture of numbers and letters
Special Characters - At least one of the following special characters !"£$%^&*()-_=+{}#\@':;.>,<\|?
Length - Your password must be at least 8 characters long
Unique Characters - Your password must contain at least 4 unique characters

Mentre seguo il criterio link di una password molto lunga (oltre 40 caratteri e 166 bit di entropia (secondo KeePass).

Sto cercando di pensare a come sanno quale sia la mia password (per dirmi le cifre che non contiene) senza archiviarla in testo semplice.

L'unica idea "buona" che ho è che l'hanno memorizzata e crittografata, l'hanno decifrata, analizzata il testo in chiaro per "sicurezza", quindi cancellato il testo in chiaro. Ma poi non mi piace l'idea, dato quanto sarebbe facile decifrare se il sito fosse compromesso e presumibilmente anche la chiave di crittografia.

La mia altra idea era che quando inserivo la mia password e prima di salarla e eseguirne l'hashing, raccoglievano alcune statistiche sul tipo di caratteri che conteneva. Questo sembra improbabile e anche una brutta cosa.

Qualche altra idea su come possono farlo?

    
posta fwgx 15.05.2014 - 20:18
fonte

3 risposte

4

Il tuo provider vede la tua password regolarmente - ogni volta che ti connetti. I dettagli dipendono dalla tecnologia:

  • In una webmail , c'è un sito Web e un browser, e il browser invia la password al server (sotto la copertura di SSL, si spera). Il server può organizzare una sessione di gestione basata sui cookie che consente a un determinato browser di tornare senza mostrare la per sé . Tuttavia, se hai digitato la password, è stata inviata. Inoltre, il browser moderno può ricordare le password e inserirle automaticamente per te.

  • Con protocolli di posta elettronica non Web, come POP e IMAP , l'autenticazione può anche essere del tipo "mostra la password". In particolare, quando si configura l'applicazione di posta elettronica su uno smartphone, si inserisce la password e l'applicazione si ricorda di essa e la invia al server per ogni connessione successiva.

  • Esistono protocolli di autenticazione in cui la password è non inviata così com'è; in particolare APOP , utilizzato da alcuni server per l'autenticazione della connessione POP. Tuttavia, tali protocolli utilizzano una strategia challenge-response, che implica che il server memorizzi la password stessa (non solo una sua versione con hash).

Pertanto, è possibile che il server non ha effettivamente memorizzato la password (come testo in chiaro o in un formato reversibile), ma semplicemente ispeziona mentre scorre durante il normale funzionamento. È anche possibile che faccia memorizzi la tua password - i sintomi non sono sufficienti per escludere entrambe le possibilità.

In ogni caso:

  • Le regole della password applicate sono fuorvianti. La tua password attuale è molto più strong della media, e sbagliano nel tentativo di scoraggiare il tuo utilizzo. La forza di una password si basa esattamente in quanto è sconosciuto agli attaccanti (è ciò che viene chiamato "entropia"); non ci sono caratteri come cifre o segni di punteggiatura che sono intrinsecamente più forti di altri. Apparentemente, il sysadmin sul server non lo sa.

  • L'applicazione delle regole della password è, in generale, errata. Le "regole della password" antagonizzano gli utenti. La sicurezza può essere raggiunta solo con una strong cooperazione utente, che si basa su istruzione e buona volontà . Le regole della password sono l'opposto di ciò che dovrebbe essere fatto.

  • L'invio di dettagli della password via email è un reato di tiro.

risposta data 16.05.2014 - 16:10
fonte
6

John the ripper è una password brute force e utilità di cracking del dizionario che è stata utilizzata per molti anni per determinare le password degli utenti. Alcune aziende e organizzazioni lo utilizzano per convalidare i dipendenti che utilizzano password che soddisfano i requisiti di complessità.

link

Potrebbero aver usato John e crackato la tua password.

Possono anche memorizzarlo con la crittografia reversibile e hanno analizzato il testo in chiaro della tua password. Questa è cattiva pratica e una di cui ti farei attenzione; se lo fanno, non aderiscono alle pratiche industriali accettate in questo settore. In quale altro posto non stanno seguendo il modo preferito di fare le cose?

Potrebbero aver raccolto delle statistiche al momento dell'inserimento e ora sono tornate indietro e hanno analizzato i dati. Questo è piuttosto ingombrante. È più probabile che usassero una funzione o un modulo o un dizionario (ad esempio pam_cracklib.so) quando si tentò per la prima volta di creare il passwd; il sistema ti direbbe che non era sicuro in quel momento e nella maggior parte dei casi.

Difficile dire esattamente, ma se tornano dopo il fatto, sembra sospetto.

Assicurati che non si tratti di e-mail di phishing ... non fare clic sui link, vai direttamente al sito a mano.

    
risposta data 15.05.2014 - 20:29
fonte
2

Sospetto strongmente che si tratti di una truffa. È improbabile che qualcuno come questo host web abbia violato la tua password, specialmente se è composta da 40 caratteri. È molto più probabile che qualcuno stia cercando di convincerti ad accedere a un sito falso per poter accedere al tuo account o infettare di malware.

    
risposta data 15.05.2014 - 21:10
fonte

Leggi altre domande sui tag

Come garantire al mio cliente che il mio software è antimalware? Crittografia AES devo usare una modalità?