È una cattiva idea per un titolare di informazioni di inviare via e-mail a un utente la sua password?

21

Un paio di siti Web con cui sono registrato hanno, dopo un periodo di inattività da parte mia, ciascuno di essi mi ha inviato una e-mail per ricordarmi che sono ancora registrato. In ogni caso, tale e-mail ha incluso la mia password.

È una cattiva idea?

I miei pensieri sono che, sì, lo è, sulla base del fatto che:

  1. Se sono in grado di inviarmi la mia password, ciò implica che la stanno memorizzando in modo non criptato?
  2. Dato che le e-mail come queste sono state inviate specificamente a causa della mia inattività, è possibile che non utilizzi più quell'account di posta elettronica, il che significa che potrebbe essere stato compromesso dall'ultima volta che l'ho usato.
  3. Gli utenti utilizzano spesso le stesse password su più siti. Se la posta elettronica è intrinsecamente insicura, la rivelazione di una password da un sito in questo modo compromette potenzialmente gli account dell'utente su altri siti.
posta Steve Melnikoff 03.07.2011 - 18:42
fonte

4 risposte

30
  1. Lo stanno archiviando in testo normale (probabile) o utilizzano una crittografia reversibile. Quindi in caso di compromissione la password è a rischio.

  2. Sì, ed è anche peggio: alcuni provider di posta come Hotmail eliminano gli account e-mail inattivi e consentono ad altre persone di registrarlo. La gestione superiore di Twitter è stata eseguita con successo attaccato registrando nuovamente un vecchio account Hotmail .

  3. Sì, corretto. Una password riutilizzata, rivelata in una di quelle mail, ha svolto un ruolo importante nel citato attacco Twitter.

risposta data 03.07.2011 - 19:25
fonte
5

Hendrik ha fornito una serie di problemi. Inoltre, anche se gli operatori di servizi utilizzano SMTP con TLS per inviare la posta dal MUA del promemoria-bot al proprio MTA locale, allora non hanno nessuna garanzia e nessun modo di sapere se il contenuto rimane criptato la via per la tua MDA e MUA. In altre parole: potrebbero mostrare a chiunque la tua password, anche se ricevi il messaggio correttamente.

[A parte questo, mailman è un gestore di mailing di alto profilo che segue ancora questo pericoloso processo. E indovina quale gestore di mailing list viene utilizzato nelle mailing list OWASP? : - (]

    
risposta data 03.07.2011 - 20:24
fonte
-1

In astratto, ovviamente è una cattiva idea, per tutti gli altri motivi validi (ad esempio "archiviarlo in testo normale", "intercettazione", "dirottamento e ripetizione dell'account", ecc.) che altri intervistati hanno affermato.

Il problema che vorrei sollevare, tuttavia, come è quasi sempre il caso delle domande relative alla sicurezza IT come questa, è "rispetto a" cosa "?" Se si tratta di un metodo alternativo, meno vulnerabile all'intercettazione (preferibilmente fuori banda, ad esempio ".zip della password in un archivio crittografato, inviarlo via e-mail e poi chiamarti a voce e dettare la password" ) è disponibile il metodo, quindi ovviamente dovrebbe essere usato.

Ma cosa succede se nessun canale alternativo è disponibile, o è pratico?

Posso affermare che se la password che un utente finale probabilmente sceglierà è "password" o "123456", è intrinsecamente molto più vulnerabile di avere una password complessa inviata via e-mail a quell'utente, con le istruzioni usarlo solo per un tempo limitato e poi cambiarlo in qualcosa di altrettanto complesso (o memorizzarlo in un gestore di password come KeePass, LastPass o Password Safe, e quindi eliminare la versione in chiaro)?

A meno che il tuo nome sia "Snowden" o "Assange", la probabilità relativa che tutte le tue comunicazioni siano costantemente monitorate - e quindi sei a rischio di intercettare il flusso di dati TCP / IP e quindi di intercettare la tua password - In realtà è molto basso. Considerando che, il rischio che una password debole possa essere hackerata, è piuttosto alto.

Quindi tutto si riduce a una situazione di analisi del rischio. Se ti trovi in un ambiente ad alto rischio (ad esempio sei una banca e hai bisogno di comunicare le credenziali dell'account ai clienti ad alto reddito), allora sì, QUALSIASI forma di comunicazione con password che possa essere intercettata, probabilmente non è appropriata. Se, d'altro canto, stai organizzando il forum di discussione on-line per l'Auxilliary Floral Arrangement Society di Peoria, Ohio, e devi fornire ai membri un accesso protetto da password al forum "Pubblica le tue ultime combinazioni di Flower Power", quindi le conseguenze di un'intercettazione della password di successo e di un successivo attacco online potrebbero essere molto inferiori e forse un maggiore livello di rischio nella comunicazione delle credenziali può essere accettato.

    
risposta data 14.08.2014 - 15:36
fonte
-4

Sì, spedire le password può renderlo responsabile di un furto. D'altro canto, può anche essere utile per i proprietari degli account nel caso in cui si siano dimenticati di quel sito, a condizione che la comunicazione avvenga utilizzando la crittografia corretta.

    
risposta data 14.08.2014 - 15:17
fonte

Leggi altre domande sui tag