Que feriez-vous si vous réalisiez que votre fournisseur d'hébergement de messagerie pouvait voir vos mots de passe?

L'année dernière, nous avons reçu un e-mail de notre hébergeur concernant l'un de nos comptes - il avait été compromis et utilisé pour fournir une portion plutôt généreuse de spam.

Apparemment, l'utilisateur avait réinitialisé son mot de passe à une variante de son nom (le nom de famille est quelque chose que vous pourriez probablement deviner la première fois.) Elle a rapidement été piratée en une semaine - son compte a envoyé un déluge de 270 000 courriers indésirables - et a été très rapidement bloqué.

Jusqu'à présent, rien de particulièrement inhabituel. Ça arrive. Vous changez vos mots de passe en quelque chose de plus sécurisé, éduquez l'utilisateur et passez à autre chose.

Cependant, quelque chose me préoccupait encore plus que le fait qu'un de nos comptes ait été compromis.

Notre hébergeur, dans un effort pour être utile, nous a en fait cité le mot de passe dans l'e-mail suivant:

Je suis stupéfait. Nous devons bientôt renouveler notre contrat - et cela ressemble à un dealbreaker.

À quel point est-il courant pour un hébergeur de trouver le mot de passe réel utilisé sur un compte?

La plupart des hébergeurs ont-ils un service d'abus de compte qui a plus d'accès que les représentants de première ligne (et peut rechercher des mots de passe si nécessaire), ou ces gars-là ne suivent-ils tout simplement pas les meilleures pratiques pour permettre à l' un de leurs employés d'accéder à l'utilisateur mots de passe? Je pensais que les mots de passe étaient censés être hachés et non récupérables? Est-ce à dire qu'ils stockent les mots de passe de tout le monde en texte brut?

Est-il même légal qu'un hébergeur puisse découvrir les mots de passe des comptes de cette manière? Cela me semble tellement incroyable.

Avant d'envisager de changer de fournisseur, je voudrais être rassuré sur le fait que ce n'est pas une pratique courante et que notre prochain fournisseur d'hébergement ne verra probablement pas les choses de la même manière.

Au plaisir d'entendre vos opinions à ce sujet.

Oui, il est courant que les FAI et les fournisseurs de services de messagerie stockent votre mot de passe en texte brut ou dans un format facilement récupérable en texte brut.

La raison en est , entre autres, avec les protocoles d'authentification utilisés avec PPP (dialup et DSL), RADIUS (dialup, 802.1x, etc.) et POP (email).

Le compromis ici est que si les mots de passe sont hachés unidirectionnels dans la base de données du FAI, alors les seuls protocoles d'authentification qui peuvent être utilisés sont ceux qui transmettent le mot de passe sur le fil en texte brut. Mais si le FAI stocke le mot de passe réel, des protocoles d'authentification plus sécurisés peuvent être utilisés.

Par exemple, l'authentification PPP ou RADIUS peut utiliser CHAP, qui sécurise les données d'authentification en transit, mais nécessite qu'un mot de passe en texte brut soit stocké par le FAI. De même avec l'extension APOP à POP3.

De plus, tous les différents services qu'un FAI propose utilisent tous des protocoles différents, et la seule façon propre de les authentifier tous auprès de la même base de données est de conserver le mot de passe en texte clair.

Cela ne règle pas la question de savoir qui parmi le personnel du FAI a accès à la base de données , et à quel point elle est sécurisée . Vous devriez toujours poser des questions difficiles à ce sujet.

Comme vous l'avez probablement déjà appris, cependant, il est presque inconnu que la base de données d'un FAI soit compromise, alors qu'il est trop courant que des utilisateurs individuels soient compromis. Vous avez un risque de toute façon.

Voir aussi Ai-je tort de croire que les mots de passe ne devraient jamais être récupérables (hachage unidirectionnel)? sur notre site sœur IT Security

Ceci est, malheureusement, assez courant avec des hôtes à petit budget et pas inconnu, même avec des hôtes plus gros. Des choses comme cpanel ont souvent besoin de votre mot de passe en texte brut pour pouvoir se connecter à divers services comme vous, etc.

La seule chose que vous pouvez faire est de demander à l'avance si les mots de passe sont hachés.

Ils stockent probablement des mots de passe en texte brut ou utilisent une sorte de cryptage réversible.

Comme vous l'avez supposé, c'est très mauvais.

Soit en raison de la malveillance ou de la négligence des employés, soit d'un compromis de leurs systèmes par une tierce partie, les mots de passe en texte brut mal utilisés créent un risque sérieux - non seulement pour leurs systèmes, mais pour d'autres systèmes, des personnes auraient pu utiliser le même mot de passe.

Le stockage responsable des mots de passe signifie l'utilisation de fonctions de hachage unidirectionnelles au lieu d'un cryptage réversible, avec un sel (données aléatoires) ajouté à l'entrée de l'utilisateur pour empêcher l'utilisation de tables arc-en-ciel .

Si j'étais à votre place, je poserais au fournisseur quelques questions difficiles sur la façon dont, exactement, ils stockent les mots de passe et comment, exactement, leur représentant du support a pu récupérer le mot de passe. Cela ne signifie peut-être pas qu'ils stockent les mots de passe en texte brut, mais peut-être qu'ils les enregistrent quelque part lorsqu'ils sont modifiés - ce qui représente également un risque énorme.

Toutes les autres réponses sont excellentes et ont de très bons points historiques.

Cependant, nous vivons à une époque où le stockage de mots de passe en texte brut provoque d'énormes problèmes financiers et peut complètement détruire les entreprises. L'envoi de mots de passe en texte brut via un courrier électronique non sécurisé semble également ridicule à l'ère de la NSA qui aspire toutes les données de passage.

Vous n'êtes pas obligé d'accepter le fait que certains anciens protocoles nécessitent des mots de passe en texte brut. Si nous arrêtions tous d'accepter de tels services, les fournisseurs de services feraient probablement quelque chose et finiraient par déprécier les anciennes technologies.

Certaines personnes peuvent se rappeler qu'une fois que vous souhaitez monter à bord d'un avion pour un vol vers un autre pays, vous entrez littéralement dans l'avion depuis le parking de la rue. Aucune sécurité quoi que ce soit. De nos jours, les gens ont réalisé que des mesures de sécurité appropriées sont nécessaires et que tous les aéroports les ont mises en place.

Je passerais à un autre fournisseur de messagerie. La recherche sur "fournisseur de messagerie sécurisé" donne de nombreux résultats.

Il y avait de bons points dans les commentaires. La recherche d'un «fournisseur de messagerie sécurisé» aurait probablement beaucoup de sens car tous les fournisseurs de messagerie se vanteraient d'être sécurisés. Cependant, je ne peux pas recommander une entreprise en particulier et ce n'est probablement pas une bonne idée de le faire non plus. Si vous identifiez une entreprise en particulier en posant d'abord une question difficile sur la sécurité, ce sera une bonne chose à faire.

Ma recommandation est de partir et de demander aux gars suivants quelles sont leurs politiques en premier!
Si vous vous sentez bien, vous pouvez dire aux anciens prestataires pourquoi vous partez.

Aussi pour répondre à une autre réponse, les jours des tables arc-en-ciel sont passés. Ils ont été remplacés par des GPU puissants et prennent trop d'espace de stockage (les hachages binaires ne compressent évidemment pas bien; et vous ne les stockeriez pas de toute façon en ASCII). Il est plus rapide de (re) calculer le hachage sur un GPU que de le lire sur le disque.

Selon l'algorithme de hachage utilisé et le GPU, un ordinateur de piratage de mot de passe moderne devrait générer environ 100 millions à un milliard de hachages par seconde. Selon cela , (qui est un peu daté de ce qu'il pense qu'un ordinateur / supercalculateur peut faire), cela signifie que tout mot de passe de 6 caractères peut être craqué en quelques secondes. Les tables pour les hachages de 7 et 8 caractères dans tous les différents algorithmes (MD5, SHA-1, SHA-256, SHA-512, Blowfish, etc.) consommeraient des quantités excessives d'espace disque (réalisez que vous devez les stocker sur un SSD , pas un plateau magnétique, pour la vitesse d'accès) et vous pouvez voir pourquoi les attaques par dictionnaire utilisant le GPU vont produire des mots de passe plus rapidement.

Un article intéressant pour ceux qui entrent en scène est Comment je suis devenu un pirate de mot de passe chez Ars Technica.

Cela m'est arrivé!

Il y a quelques années, mon identité a été compromise lorsque mon fournisseur d'hébergement (qui était également mon fournisseur de messagerie à l'époque) a subi une faille de sécurité. Je me suis réveillé de ne pas pouvoir vérifier mes e-mails car mon mot de passe avait été réinitialisé. Avec le contrôle de mon e-mail, ils ont tenté de réinitialiser mon mot de passe sur Amazon et PayPal. Vous pouvez deviner ce qui est venu ensuite, non? Frais de carte de crédit frauduleux!

Heureusement, j'ai pu comprendre ce qui se passait relativement rapidement, obtenir mon fournisseur d'hébergement par téléphone et valider minutieusement mon identité malgré les informations de compte et les questions de sécurité modifiées (le tout en quelques heures). Au cours de cette conversation, le représentant du service client a pu me dire l'historique de mon mot de passe, quand il avait été changé et à quoi. C'est tout ce que j'avais besoin d'entendre pour savoir que je devais absolument changer de fournisseur.

Il n'y a aucune raison que cela vous arrive, notre votre entreprise!

J'avais des soupçons quant à la rigueur de cette entreprise en matière de sécurité, des choses que j'avais remarquées ici et là au cours de mes années de relations avec elles. Mais je me suis toujours convaincu que ce n'était pas grave ou peut-être que je me trompais. Je ne me suis pas trompé, et vous non plus!

Si j'avais agi la première fois que je soupçonnais qu'ils ne prenaient pas la sécurité au sérieux, ce mini-cauchemar n'aurait jamais eu lieu. Penser à ce qui pourrait se produire en cas de compromission d'un précieux compte d'entreprise? Vous vous en sortiriez facilement s'ils envoyaient uniquement du SPAM. L'entreprise pour laquelle je travaillais à l'époque utilisait également ce fournisseur et nous avons fait de notre priorité une transition le plus rapidement possible.

Faites confiance à votre instinct! Ne passez pas la balle à la migration par paresse ou parce que votre configuration existante "fonctionne bien". La partie la plus accablante des oublis de sécurité bas comme le stockage de mots de passe en texte clair, la configuration incorrecte des serveurs, etc. est qu'ils parlent d'une incompétence générale et / ou de la paresse dans leur culture technique, et c'est une culture que je ne voudrais pas que la mission de mon entreprise soit critique contrat de service à proximité.

Je peux voir une explication alternative, où votre mot de passe est haché sur les serveurs de votre fournisseur.

Comme le fournisseur vous a contacté juste un jour après, il l'a probablement (et c'est une supposition) retiré des journaux du serveur car son script de changement de mot de passe soumet des données via la méthode GET.

Cela semble plus simple que votre fournisseur ayant une base de données pleine d'enregistrements de quand, qui et comment a changé son mot de passe. Vous connaissez le rasoir d'Occam ...;)