Le password VPN devono essere archiviate in testo normale?

1

Non so nulla sulla configurazione di una VPN, ma capita di utilizzare un add-on VPN per Firefox e che il provider VPN memorizzi la password dell'utente in testo semplice.

La settimana scorsa ho installato un add-on VPN per Firefox, quindi ho creato un account e ho cambiato la password predefinita prima di usarla. È buono e anche veloce, ma pochi giorni dopo, quando ho controllato il mio spam, ho visto che il provider VPN mi ha inviato un'e-mail datata il giorno in cui ho cambiato la password, con la mia password in chiaro. Ho pensato che potesse essere solo un bug dalla loro parte.

Quindi quello che ho fatto dopo è stato cercare di dimenticare la mia password, per vedere se mi avrebbero mandato la mia password o un link di reset. Ma sfortunatamente hanno inviato la mia password in chiaro.

Ho inviato loro un'email al loro supporto ma non ho ricevuto risposta. Dopo alcuni giorni di silenzio, ho scritto una recensione sulla loro pagina di Firefox e ho inviato un rapporto sull'abuso. Dopo un'ora mi hanno mandato un'email dicendo:

they need to be stored plain because of vpn authentication. you send them there plain. Otherwise they cannot work

La mia domanda è, è vero che hanno bisogno di memorizzare la password in testo semplice per far funzionare la VPN? Oppure è solo al di là delle funzionalità per memorizzare in modo sicuro le credenziali dell'utente?

Pensa solo agli utenti che usano la stessa password sui loro altri account. Questo potrebbe essere il caso per la maggior parte di noi.

Grazie.

    
posta zer09 26.04.2016 - 07:45
fonte

1 risposta

1

Sì, hanno bisogno della tua password in chiaro per far funzionare la VPN, semplicemente perché il loro servizio è mal configurato. Loro non dovrebbero aver bisogno della tua password in testo semplice.

Il problema è che usano la password in chiaro nella loro procedura di autenticazione. Quando un nuovo utente crea un account, il provider VPN deve hash correttamente la propria password e utilizzare tale hash per autenticarli. Da quello che vedo, il loro servizio è mal configurato.

Nota che, quando hai cambiato la password la prima volta e ti hanno inviato la nuova password in chiaro, ciò non significa che abbiano memorizzato la tua password in quel formato. Avrebbero potuto inviarti quella email prima di cancellarla e conservarla nel loro database. (Anche se inviare credenziali via email è una cattiva idea.) Tuttavia, la password in chiaro quando si usa la funzione password smarrita lo dimostra.

    
risposta data 26.04.2016 - 07:59
fonte

Leggi altre domande sui tag