Que feriez-vous si vous réalisiez que votre fournisseur d'hébergement de messagerie pouvait voir vos mots de passe?


31

L'année dernière, nous avons reçu un e-mail de notre hébergeur concernant l'un de nos comptes - il avait été compromis et utilisé pour fournir une portion plutôt généreuse de spam.

Apparemment, l'utilisateur avait réinitialisé son mot de passe à une variante de son nom (le nom de famille est quelque chose que vous pourriez probablement deviner la première fois.) Elle a rapidement été piratée en une semaine - son compte a envoyé un déluge de 270 000 courriers indésirables - et a été très rapidement bloqué.

Jusqu'à présent, rien de particulièrement inhabituel. Ça arrive. Vous changez vos mots de passe en quelque chose de plus sécurisé, éduquez l'utilisateur et passez à autre chose.

Cependant, quelque chose me préoccupait encore plus que le fait qu'un de nos comptes ait été compromis.

Notre hébergeur, dans un effort pour être utile, nous a en fait cité le mot de passe dans l'e-mail suivant:

entrez la description de l'image ici

Je suis stupéfait. Nous devons bientôt renouveler notre contrat - et cela ressemble à un dealbreaker.

À quel point est-il courant pour un hébergeur de trouver le mot de passe réel utilisé sur un compte?

La plupart des hébergeurs ont-ils un service d'abus de compte qui a plus d'accès que les représentants de première ligne (et peut rechercher des mots de passe si nécessaire), ou ces gars-là ne suivent-ils tout simplement pas les meilleures pratiques pour permettre à l' un de leurs employés d'accéder à l'utilisateur mots de passe? Je pensais que les mots de passe étaient censés être hachés et non récupérables? Est-ce à dire qu'ils stockent les mots de passe de tout le monde en texte brut?

Est-il même légal qu'un hébergeur puisse découvrir les mots de passe des comptes de cette manière? Cela me semble tellement incroyable.

Avant d'envisager de changer de fournisseur, je voudrais être rassuré sur le fait que ce n'est pas une pratique courante et que notre prochain fournisseur d'hébergement ne verra probablement pas les choses de la même manière.

Au plaisir d'entendre vos opinions à ce sujet.


4
Bien que cela soit évidemment très préoccupant, pour tout ce que vous savez, il s'agit d'un coup de poing d'un représentant du téléphone enregistrant le nouveau mot de passe dans un ticket (ce qu'ils ne devraient jamais faire) et d'un autre représentant le voyant dans les notes du ticket. Vous avez le droit d'exiger des réponses, mais en l'état, vous ne savez pas comment le mot de passe a été récupéré.
Andrew B

1
Je sais pertinemment que l'utilisateur a défini le mot de passe via l'interface Web. Ils l'ont retiré des enregistrements sur le serveur - personne au bureau ne leur en a parlé au téléphone (en plus, je crois que ce fournisseur a un support par e-mail de toute façon)
Austin '' Danger '' Powers

3
Qu'est ce que je ferais? Hausser les épaules. Tout ce que vous faites sur des systèmes contrôlés par quelqu'un d'autre leur est visible. Si vous ne voulez pas que quelqu'un d'autre ait cette visibilité sur vos systèmes de messagerie, exécutez-les et hébergez-les vous-même. Vous pourriez ne pas approuver ce qu'ils font avec les informations qu'ils ont par définition, mais s'il n'y a aucune obligation contractuelle de ne pas le faire, eh bien, vous avez signé les contrats.
MadHatter prend en charge Monica

19
Le stockage d'un mot de passe en clair est mauvais (comme Time to find a new providermauvais!) - beaucoup de gens le font mais quand même: MAUVAIS. Vous envoyer le mot de passe dans un e-mail non crypté ? TOUS MON NOPE . Cela montre un mépris occasionnel pour la sécurité. Courez, ne marchez pas, vers un nouveau fournisseur avec du bon sens ...
voretaq7

2
Je voudrais développer ce que @MadHatter a dit: Beaucoup de gens ici se concentrent sur l'idée de "stocker des mots de passe en texte clair". Le simple fait est que si j'exécute un serveur POP / IMAP, un serveur SSH ou toute autre chose dans laquelle vous pouvez taper votre mot de passe, il peut être configuré pour se connecter à ce mot de passe lorsque vous le tapez , que vous le fassiez ou non Je stocke des objets hachés ou en texte clair. Google peut voir votre mot de passe et Dropbox peut voir votre mot de passe et Facebook peut voir votre mot de passe, etc. Vous faites confiance à votre fournisseur ou l'hébergez vous-même.
larsks

Réponses:


33

Oui, il est courant que les FAI et les fournisseurs de services de messagerie stockent votre mot de passe en texte brut ou dans un format facilement récupérable en texte brut.

La raison en est , entre autres, avec les protocoles d'authentification utilisés avec PPP (dialup et DSL), RADIUS (dialup, 802.1x, etc.) et POP (email).

Le compromis ici est que si les mots de passe sont hachés unidirectionnels dans la base de données du FAI, alors les seuls protocoles d'authentification qui peuvent être utilisés sont ceux qui transmettent le mot de passe sur le fil en texte brut. Mais si le FAI stocke le mot de passe réel, des protocoles d'authentification plus sécurisés peuvent être utilisés.

Par exemple, l'authentification PPP ou RADIUS peut utiliser CHAP, qui sécurise les données d'authentification en transit, mais nécessite qu'un mot de passe en texte brut soit stocké par le FAI. De même avec l'extension APOP à POP3.

De plus, tous les différents services qu'un FAI propose utilisent tous des protocoles différents, et la seule façon propre de les authentifier tous auprès de la même base de données est de conserver le mot de passe en texte clair.

Cela ne règle pas la question de savoir qui parmi le personnel du FAI a accès à la base de données , et à quel point elle est sécurisée . Vous devriez toujours poser des questions difficiles à ce sujet.

Comme vous l'avez probablement déjà appris, cependant, il est presque inconnu que la base de données d'un FAI soit compromise, alors qu'il est trop courant que des utilisateurs individuels soient compromis. Vous avez un risque de toute façon.

Voir aussi Ai-je tort de croire que les mots de passe ne devraient jamais être récupérables (hachage unidirectionnel)? sur notre site sœur IT Security


2
APOP est à peu près un protocole mort, et MSCHAPv2 n'a pas besoin que le serveur connaisse le mot de passe en clair - je ne pense pas vraiment qu'il y ait une tonne de raisons pour qu'un fournisseur de services garde des mots de passe clairs ces jours-ci.
Shane Madden

1
@ShaneMadden Vous avez raison; c'est CHAP, plutôt que MSCHAP. Et oui, ces protocoles sont sacrément morts, mais les fournisseurs de services qui existent depuis toujours peuvent toujours les utiliser pour des services hérités.
Michael Hampton

Oui - bien que j'aimerais penser que la plupart des fournisseurs de services hérités ont un vieux LDAP croustillant plein de {crypt}mots de passe plutôt que de texte clair (l'approche adoptée par ceux que j'ai examinés en coulisses dans le passé ). Bien que cela puisse être un vœu pieux.
Shane Madden

1
Remarque sur la cryptographie obligatoire: "Le compromis ici est que si les mots de passe sont hachés unidirectionnels dans la base de données du FAI, alors les seuls protocoles d'authentification qui peuvent être utilisés sont ceux qui transmettent le mot de passe sur le fil en texte brut. Mais si le FAI stocke le mot de passe réel, puis des protocoles d'authentification plus sécurisés peuvent être utilisés. " n'est généralement pas vrai. C'est seulement vrai car il n'y a pas de protocoles existants qui permettent un schéma d'authentification sécurisé avec des mots de passe hachés.
orlp

1
@nightcracker par rapport à la quantité de données que vous allez transférer (cryptée également, j'espère), la petite quantité de données d'authentification ne devrait pas vraiment vous déranger autant
Tobias Kienzler

12

Ceci est, malheureusement, assez courant avec des hôtes à petit budget et pas inconnu, même avec des hôtes plus gros. Des choses comme cpanel ont souvent besoin de votre mot de passe en texte brut pour pouvoir se connecter à divers services comme vous, etc.

La seule chose que vous pouvez faire est de demander à l'avance si les mots de passe sont hachés.


28
C'est un hôte à très petit budget ... Je savais que c'était trop beau pour être vrai. Cela me rend fou. Quoi qu'il en soit, merci d'avoir collé votre cou avec une réponse. Au début, je pensais que c'était une tâche difficile, mais vous avez saisi l'occasion. Des réponses comme celle-ci aident ce site à atteindre de nouveaux sommets. Je pensais marquer cela comme la meilleure réponse, mais c'est au coude à coude.
Austin '' Danger '' Powers

7

Ils stockent probablement des mots de passe en texte brut ou utilisent une sorte de cryptage réversible.

Comme vous l'avez supposé, c'est très mauvais.

Soit en raison de la malveillance ou de la négligence des employés, soit d'un compromis de leurs systèmes par une tierce partie, les mots de passe en texte brut mal utilisés créent un risque sérieux - non seulement pour leurs systèmes, mais pour d'autres systèmes, des personnes auraient pu utiliser le même mot de passe.

Le stockage responsable des mots de passe signifie l'utilisation de fonctions de hachage unidirectionnelles au lieu d'un cryptage réversible, avec un sel (données aléatoires) ajouté à l'entrée de l'utilisateur pour empêcher l'utilisation de tables arc-en-ciel .

Si j'étais à votre place, je poserais au fournisseur quelques questions difficiles sur la façon dont, exactement, ils stockent les mots de passe et comment, exactement, leur représentant du support a pu récupérer le mot de passe. Cela ne signifie peut-être pas qu'ils stockent les mots de passe en texte brut, mais peut-être qu'ils les enregistrent quelque part lorsqu'ils sont modifiés - ce qui représente également un risque énorme.


1
Je leur poserai quelques questions et posterai ici s'ils disent quelque chose d'intéressant. Ma plus grande préoccupation est qu'ils pourraient potentiellement 1) lire n'importe lequel de nos e-mails 2) en lisant nos e-mails, voir une référence à un compte de messagerie personnel 3) si un utilisateur utilise le même mot de passe pour le travail et la messagerie personnelle, alors sa messagerie personnelle pourrait être compromis aussi.
Austin '' Danger '' Powers

@ Austin''Danger''Powers "pourrait potentiellement 1) lire n'importe lequel de nos e-mails " N'importe quel hôte peut le faire - sans exception (en supposant que le contenu du courrier lui-même n'a pas été crypté par l'expéditeur - mais c'est une autre histoire).
orlp

Je pensais que ce n'est généralement possible que pour un support de haut niveau. Si la visualisation des mots de passe est quelque chose que l' un de leurs représentants de support peut faire, le risque qu'un employé malhonnête / ennuyé fouille dans nos e-mails augmente.
Austin '' Danger '' Powers

5

Toutes les autres réponses sont excellentes et ont de très bons points historiques.

Cependant, nous vivons à une époque où le stockage de mots de passe en texte brut provoque d'énormes problèmes financiers et peut complètement détruire les entreprises. L'envoi de mots de passe en texte brut via un courrier électronique non sécurisé semble également ridicule à l'ère de la NSA qui aspire toutes les données de passage.

Vous n'êtes pas obligé d'accepter le fait que certains anciens protocoles nécessitent des mots de passe en texte brut. Si nous arrêtions tous d'accepter de tels services, les fournisseurs de services feraient probablement quelque chose et finiraient par déprécier les anciennes technologies.

Certaines personnes peuvent se rappeler qu'une fois que vous souhaitez monter à bord d'un avion pour un vol vers un autre pays, vous entrez littéralement dans l'avion depuis le parking de la rue. Aucune sécurité quoi que ce soit. De nos jours, les gens ont réalisé que des mesures de sécurité appropriées sont nécessaires et que tous les aéroports les ont mises en place.

Je passerais à un autre fournisseur de messagerie. La recherche sur "fournisseur de messagerie sécurisé" donne de nombreux résultats.

Il y avait de bons points dans les commentaires. La recherche d'un «fournisseur de messagerie sécurisé» aurait probablement beaucoup de sens car tous les fournisseurs de messagerie se vanteraient d'être sécurisés. Cependant, je ne peux pas recommander une entreprise en particulier et ce n'est probablement pas une bonne idée de le faire non plus. Si vous identifiez une entreprise en particulier en posant d'abord une question difficile sur la sécurité, ce sera une bonne chose à faire.


1
L'une des raisons pour lesquelles notre dernier webmaster a recommandé ce fournisseur est qu'il était censé être "plus sécurisé" que le précédent. Je me suis vite découvert qu'ils ne laisseraient pas certains caractères spéciaux dans les mots de passe que nous utilisions pour pouvoir utiliser, puis plus tard que leur personnel avait accès à nos mots de passe. La seule raison pour laquelle ils sont «plus sécurisés» est qu'ils nous obligent à respecter certaines exigences minimales de longueur / complexité de mot de passe - un gros problème.
Austin '' Danger '' Powers

Tout le monde appelle leur service "sécurisé", mais il s'avère que cela ne signifie pas toujours ce que vous pensez que cela signifie. Le système devrait le rendre impossible. J'ai travaillé pour un FAI il y a des années, et bien que je puisse réinitialiser le mot de passe de n'importe quel client, je n'avais aucun moyen de voir quel était le mot de passe actuel. Ces gars-là pouvaient théoriquement lire nos e-mails à notre insu ... Je ne devrais pas avoir à compter sur la confiance .
Austin '' Danger '' Powers

1
Appliquent-ils une exigence de longueur maximale ? C'est presque toujours un canari pour le stockage de mots de passe en texte brut.
Mels

1
"La recherche sur" fournisseur de messagerie sécurisé "donne de nombreux résultats." - oui et combien de ces sites qui stockent des mots de passe en texte brut figureront sous ces résultats car ils se croient en sécurité. Ne choisissez pas l' hébergement d'un service que vous souhaitez sécuriser sur la base de quelques résultats de recherche.
Rob Moir

1
@RobM: Exactement. À quoi sert-il de demander au fournisseur s’il pense que son propre service est sûr? 100% d'entre eux diront "oui". Faire une recherche sur le Web pour un terme générique comme celui-ci est une perte de temps totale. Cela semble être une manière assez naïve d'aborder le problème dans son ensemble: " Vos systèmes sont-ils sûrs? D'accord, fantastique. Merci d'avoir clarifié cela. Dans ce cas, nous souscrirons à vos services sans hésitation. "
Austin '' Danger '' Powers

3

Ma recommandation est de partir et de demander aux gars suivants quelles sont leurs politiques en premier!
Si vous vous sentez bien, vous pouvez dire aux anciens prestataires pourquoi vous partez.


Aussi pour répondre à une autre réponse, les jours des tables arc-en-ciel sont passés. Ils ont été remplacés par des GPU puissants et prennent trop d'espace de stockage (les hachages binaires ne compressent évidemment pas bien; et vous ne les stockeriez pas de toute façon en ASCII). Il est plus rapide de (re) calculer le hachage sur un GPU que de le lire sur le disque.

Selon l'algorithme de hachage utilisé et le GPU, un ordinateur de piratage de mot de passe moderne devrait générer environ 100 millions à un milliard de hachages par seconde. Selon cela , (qui est un peu daté de ce qu'il pense qu'un ordinateur / supercalculateur peut faire), cela signifie que tout mot de passe de 6 caractères peut être craqué en quelques secondes. Les tables pour les hachages de 7 et 8 caractères dans tous les différents algorithmes (MD5, SHA-1, SHA-256, SHA-512, Blowfish, etc.) consommeraient des quantités excessives d'espace disque (réalisez que vous devez les stocker sur un SSD , pas un plateau magnétique, pour la vitesse d'accès) et vous pouvez voir pourquoi les attaques par dictionnaire utilisant le GPU vont produire des mots de passe plus rapidement.

Un article intéressant pour ceux qui entrent en scène est Comment je suis devenu un pirate de mot de passe chez Ars Technica.


Si votre deuxième paragraphe est vraiment vrai, cela signifierait que le salage est devenu inutile. Est-ce votre opinion personnelle ou basée sur des faits?
Tobias Kienzler

@TobiasKienzler En effet, le salage à l'aide d'une valeur qui est stockée dans la sortie est rendu assez inutile, mais le salage à l'aide d'une valeur privée reste une défense viable contre les attaques par dictionnaire. Ce n'est pas mon opinion personnelle, c'est une observation (faite par d'autres) sur le comportement actuel des crackers de mot de passe. J'ai également mis à jour un peu la réponse.
Nicholas Shanks

2
Par valeur privée, tu veux dire poivre ? Quoi qu'il en soit, les propriétés requises d'une bonne fonction de hachage sont a) elles prennent beaucoup de temps, ou mieux encore b) elles peuvent être appliquées en chaîne un nombre de fois arbitraire afin d'augmenter le temps requis. Donc, bien que je convienne qu'un hachage / sel obsolète est capable de se fissurer, un autre avec une complexité suffisamment accrue ne l'est pas. Connexes: le hachage de mot de passe ajoute du sel + du poivre ou le sel est-il suffisant?
Tobias Kienzler

@TobiasKienzler Oui, je ne savais pas à quel point je pouvais être précis avec vous :) Évidemment, les sites devraient utiliser bcrypt()ces jours-ci, mais il s'agit davantage de casser les hachages de ceux qui ne le font pas.
Nicholas Shanks

1
Eh bien dans ce cas, je suis d'accord, mais un hachage mauvais / obsolète / faible (par exemple MD5) est tout simplement inexcusable dans un contexte de sécurité.
Tobias Kienzler

1

Cela m'est arrivé!

Il y a quelques années, mon identité a été compromise lorsque mon fournisseur d'hébergement (qui était également mon fournisseur de messagerie à l'époque) a subi une faille de sécurité. Je me suis réveillé de ne pas pouvoir vérifier mes e-mails car mon mot de passe avait été réinitialisé. Avec le contrôle de mon e-mail, ils ont tenté de réinitialiser mon mot de passe sur Amazon et PayPal. Vous pouvez deviner ce qui est venu ensuite, non? Frais de carte de crédit frauduleux!

Heureusement, j'ai pu comprendre ce qui se passait relativement rapidement, obtenir mon fournisseur d'hébergement par téléphone et valider minutieusement mon identité malgré les informations de compte et les questions de sécurité modifiées (le tout en quelques heures). Au cours de cette conversation, le représentant du service client a pu me dire l'historique de mon mot de passe, quand il avait été changé et à quoi. C'est tout ce que j'avais besoin d'entendre pour savoir que je devais absolument changer de fournisseur.

Il n'y a aucune raison que cela vous arrive, notre votre entreprise!

J'avais des soupçons quant à la rigueur de cette entreprise en matière de sécurité, des choses que j'avais remarquées ici et là au cours de mes années de relations avec elles. Mais je me suis toujours convaincu que ce n'était pas grave ou peut-être que je me trompais. Je ne me suis pas trompé, et vous non plus!

Si j'avais agi la première fois que je soupçonnais qu'ils ne prenaient pas la sécurité au sérieux, ce mini-cauchemar n'aurait jamais eu lieu. Penser à ce qui pourrait se produire en cas de compromission d'un précieux compte d'entreprise? Vous vous en sortiriez facilement s'ils envoyaient uniquement du SPAM. L'entreprise pour laquelle je travaillais à l'époque utilisait également ce fournisseur et nous avons fait de notre priorité une transition le plus rapidement possible.

Faites confiance à votre instinct! Ne passez pas la balle à la migration par paresse ou parce que votre configuration existante "fonctionne bien". La partie la plus accablante des oublis de sécurité bas comme le stockage de mots de passe en texte clair, la configuration incorrecte des serveurs, etc. est qu'ils parlent d'une incompétence générale et / ou de la paresse dans leur culture technique, et c'est une culture que je ne voudrais pas que la mission de mon entreprise soit critique contrat de service à proximité.


0

Je peux voir une explication alternative, où votre mot de passe est haché sur les serveurs de votre fournisseur.

Comme le fournisseur vous a contacté juste un jour après, il l'a probablement (et c'est une supposition) retiré des journaux du serveur car son script de changement de mot de passe soumet des données via la méthode GET.

Cela semble plus simple que votre fournisseur ayant une base de données pleine d'enregistrements de quand, qui et comment a changé son mot de passe. Vous connaissez le rasoir d'Occam ...;)

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.