L'année dernière, nous avons reçu un e-mail de notre hébergeur concernant l'un de nos comptes - il avait été compromis et utilisé pour fournir une portion plutôt généreuse de spam.
Apparemment, l'utilisateur avait réinitialisé son mot de passe à une variante de son nom (le nom de famille est quelque chose que vous pourriez probablement deviner la première fois.) Elle a rapidement été piratée en une semaine - son compte a envoyé un déluge de 270 000 courriers indésirables - et a été très rapidement bloqué.
Jusqu'à présent, rien de particulièrement inhabituel. Ça arrive. Vous changez vos mots de passe en quelque chose de plus sécurisé, éduquez l'utilisateur et passez à autre chose.
Cependant, quelque chose me préoccupait encore plus que le fait qu'un de nos comptes ait été compromis.
Notre hébergeur, dans un effort pour être utile, nous a en fait cité le mot de passe dans l'e-mail suivant:
Je suis stupéfait. Nous devons bientôt renouveler notre contrat - et cela ressemble à un dealbreaker.
À quel point est-il courant pour un hébergeur de trouver le mot de passe réel utilisé sur un compte?
La plupart des hébergeurs ont-ils un service d'abus de compte qui a plus d'accès que les représentants de première ligne (et peut rechercher des mots de passe si nécessaire), ou ces gars-là ne suivent-ils tout simplement pas les meilleures pratiques pour permettre à l' un de leurs employés d'accéder à l'utilisateur mots de passe? Je pensais que les mots de passe étaient censés être hachés et non récupérables? Est-ce à dire qu'ils stockent les mots de passe de tout le monde en texte brut?
Est-il même légal qu'un hébergeur puisse découvrir les mots de passe des comptes de cette manière? Cela me semble tellement incroyable.
Avant d'envisager de changer de fournisseur, je voudrais être rassuré sur le fait que ce n'est pas une pratique courante et que notre prochain fournisseur d'hébergement ne verra probablement pas les choses de la même manière.
Au plaisir d'entendre vos opinions à ce sujet.
Time to find a new provider
mauvais!) - beaucoup de gens le font mais quand même: MAUVAIS. Vous envoyer le mot de passe dans un e-mail non crypté ? TOUS MON NOPE . Cela montre un mépris occasionnel pour la sécurité. Courez, ne marchez pas, vers un nouveau fournisseur avec du bon sens ...