Il mio registrar di domini sta memorizzando la mia password in chiaro? [chiuso]

Naviga le tue risposte
0

Ho chiamato il mio registrar di domini (non chiamato qui ma non difficile da scoprire e un importante fornitore) circa un anno fa per far cambiare alcune impostazioni DNS. Mentre ero al telefono, il rappresentante del servizio clienti mi ha fatto pronunciare la mia password (lettera per lettera) per dimostrare la mia identità. Mi è appena venuto in mente: il mio registrar di domini quindi memorizza la mia password in chiaro? In caso contrario, in che modo il servizio clienti è stato in grado di sapere che la mia password era quella che ho detto che era?

    
posta michaelrbock 26.07.2013 - 22:44
fonte

2 risposte

5

Sfortunatamente, possiamo solo speculare. Date le informazioni molto limitate che abbiamo sulle capacità del rappresentante del servizio clienti in merito alla tua password, ci sono diverse possibilità.

A parte il metodo di archiviazione dei dati, il rappresentante del servizio clienti aveva bisogno di una delle due cose per poter verificare la tua password:

  1. La possibilità di vedere effettivamente la password memorizzata sui loro server.
  2. Un'applicazione o un modulo con cui inserire la password fornita e ricevere una risposta positiva o negativa dal server dopo aver eseguito il confronto.

La prima opzione richiede una delle seguenti, nessuna delle quali è una buona pratica di sicurezza:

  • Le password sono archiviate in chiaro.
  • Le password vengono archiviate utilizzando la crittografia reversibile.

Con l'opzione # 2, puoi eseguire la salatura e l'hashing appropriati delle password pur consentendo al rappresentante del servizio clienti di verificarlo. Tuttavia, l'opzione # 2 non elimina la possibilità che vengano utilizzate le opzioni di cancellazione di testo trasparente o di crittografia reversibile.

In ogni caso il problema più grande di questo schema è che, indipendentemente da come hanno verificato la tua password, il rappresentante del servizio clienti ora conosce la tua password. Questo dovrebbe mai avvenire per qualsiasi motivo.

Soluzione: cambia la password del tuo registrar di dominio con una che non utilizzerai e non userai mai da nessun'altra parte. Cambia la tua password su qualsiasi altro sito, sistema, servizio o applicazione in cui hai utilizzato la stessa password o una password simile al tuo registrar di domini. Infine, trova un nuovo registrar di domini.

    
risposta data 26.07.2013 - 23:18
fonte
6

Beh, è ovvio che quello che è successo non è stato l'ideale per la sicurezza, dato che l'agente con cui hai parlato ora sa (se non l'ha fatto prima) il tuo nome utente / password.

In termini di spazio, sarebbe la speculazione dire che lo hanno tenuto in chiaro. Questa è una possibilità dato ciò che hai detto.

Tuttavia, se hanno chiesto l'intera password, è possibile che l'agente lo abbia digitato in un modulo che poi lo ha cancellato, confrontato con l'hash memorizzato su file e restituito una decisione corretta / errata all'agente. La parte lettera per lettera potrebbe essere solo per garantire errori di battitura / ortografia sul controllo della password.

    
risposta data 26.07.2013 - 23:08
fonte

Leggi altre domande sui tag

spiegazione dell'iniezione SQL Che cosa sta succedendo in quello che sembra un attacco che viene estratto?