Was würden Sie tun, wenn Ihr E-Mail-Hosting-Anbieter Ihre Passwörter sehen könnte?

Wir haben letztes Jahr eine E-Mail von unserem Hosting-Anbieter erhalten, die sich auf eines unserer Konten bezog - es wurde kompromittiert und verwendet, um eine recht großzügige Portion Spam zu versenden.

Anscheinend hatte die Benutzerin ihr Passwort auf eine Variation ihres Namens zurückgesetzt (Nachname ist etwas, das Sie wahrscheinlich beim ersten Mal erraten konnten.) Sie wurde innerhalb einer Woche sofort gehackt - ihr Konto versendete eine Flut von 270.000 Spam-E-Mails - und war sehr schnell verstopft.

Bisher nichts besonders ungewöhnliches. Das passiert. Sie ändern Ihre Passwörter in etwas Sichereres, bilden den Benutzer ein und fahren fort.

Es hat mich jedoch noch mehr beschäftigt als die Tatsache, dass einer unserer Accounts kompromittiert wurde.

Um hilfreich zu sein, hat uns unser Hosting-Anbieter das Passwort in der folgenden E-Mail tatsächlich mitgeteilt:

Ich bin erstaunt. Wir werden unseren Vertrag bald verlängern - und das fühlt sich wie ein Dealbreaker an.

Wie häufig ist es für einen Hosting-Anbieter, das tatsächliche Passwort eines Kontos herauszufinden?

Verfügen die meisten Hosting-Anbieter über eine Abteilung für Kontenmissbrauch, die über mehr Zugriff als die Mitarbeiter an der Front verfügt (und bei Bedarf nach Passwörtern suchen kann), oder befolgen diese Mitarbeiter einfach nicht die bewährten Methoden, um es einem ihrer Mitarbeiter zu ermöglichen, auf Benutzer zuzugreifen Passwörter? Ich dachte, Passwörter sollten gehasht und nicht abrufbar sein? Bedeutet das, dass sie alle Passwörter im Klartext speichern?

Ist es überhaupt legal, dass ein Hosting-Anbieter Kontokennwörter auf diese Weise erkennt? Es kommt mir einfach unglaublich vor.

Bevor wir uns mit einem Providerwechsel befassen, möchte ich Ihnen versichern, dass dies nicht üblich ist und dass unser nächster Hosting-Provider die Dinge wahrscheinlich nicht auf die gleiche Weise einrichten würde.

Wir freuen uns auf Ihre Meinung dazu.

Ja, ISPs und E-Mail-Dienstanbieter speichern Ihr Kennwort häufig im Nur-Text-Format oder in einem Format, das sich problemlos in Nur-Text-Format umwandeln lässt.

Der Grund dafür liegt unter anderem in den Authentifizierungsprotokollen für PPP (DFÜ und DSL), RADIUS (DFÜ, 802.1x usw.) und POP (E-Mail).

Der Nachteil hierbei ist, dass, wenn die Passwörter in der Datenbank des ISP in eine Richtung gehasht sind, die einzigen Authentifizierungsprotokolle verwendet werden können, die das Passwort im Klartext über die Leitung übertragen. Wenn der ISP jedoch das tatsächliche Kennwort speichert, können sicherere Authentifizierungsprotokolle verwendet werden.

Beispielsweise verwendet die PPP- oder RADIUS-Authentifizierung möglicherweise CHAP, wodurch die Authentifizierungsdaten während der Übertragung gesichert werden, es muss jedoch ein Nur-Text-Kennwort vom ISP gespeichert werden. Ähnlich verhält es sich mit der APOP-Erweiterung auf POP3.

Außerdem verwenden alle verschiedenen Dienste, die ein ISP anbietet, unterschiedliche Protokolle, und die einzige saubere Möglichkeit, sie alle bei derselben Datenbank authentifizieren zu lassen, besteht darin, das Kennwort im Klartext zu speichern.

Dabei geht es jedoch nicht darum , wer von den Mitarbeitern des Internetdienstanbieters Zugriff auf die Datenbank hat und wie gut diese gesichert ist. Sie sollten immer noch harte Fragen dazu stellen.

Wie Sie wahrscheinlich inzwischen erfahren haben, ist es fast unüblich, dass die Datenbank eines Internetdienstanbieters kompromittiert wird, während es für einzelne Benutzer nur allzu häufig ist, dass sie kompromittiert werden. Sie haben so oder so ein Risiko.

Siehe auch Täusche ich mich zu glauben, dass Passwörter niemals wiederherstellbar sein sollten (One-Way-Hash)? auf unserer Schwestersite IT-Sicherheit

Dies ist leider ziemlich häufig bei Budget-Hosts und selbst bei größeren Hosts nicht ungewöhnlich. Dinge wie cpanel benötigen häufig Ihr Klartext-Passwort, um sich bei verschiedenen Diensten wie Ihnen usw. anmelden zu können.

Das einzige, was Sie tun können, ist im Voraus zu fragen, ob die Passwörter gehasht wurden.

Wahrscheinlich speichern sie Passwörter entweder im Klartext oder verwenden eine umkehrbare Verschlüsselung.

Wie Sie vermutet haben, ist das sehr schlecht.

Die missbräuchliche Verwendung von Klartextkennwörtern birgt ein schwerwiegendes Risiko - nicht nur für ihre Systeme, sondern auch für andere Systeme, auf denen Mitarbeiter möglicherweise dasselbe Kennwort verwendet haben.

Die verantwortungsvolle Speicherung von Passwörtern bedeutet die Verwendung von One-Way-Hashing-Funktionen anstelle von umkehrbarer Verschlüsselung, wobei der Benutzereingabe ein Salt (zufällige Daten) hinzugefügt wird, um die Verwendung von Regenbogentabellen zu verhindern .

Wenn ich in Ihren Schuhen stecke, würde ich dem Anbieter einige schwierige Fragen dazu stellen, wie genau er Passwörter speichert und wie genau sein Support-Mitarbeiter in der Lage ist, das Passwort abzurufen. Dies bedeutet möglicherweise nicht, dass sie die Passwörter im Klartext speichern, aber sie protokollieren sie möglicherweise irgendwo, wenn sie geändert werden - auch ein großes Risiko.

Alle anderen Antworten sind großartig und haben sehr gute historische Punkte.

Wir leben jedoch in einer Zeit, in der das Speichern von Passwörtern im Klartext enorme finanzielle Probleme verursacht und Unternehmen möglicherweise völlig zerstört. Das Senden von Passwörtern im Klartext per unsicherer E-Mail klingt auch im Zeitalter der NSA lächerlich, wenn alle durchgehenden Daten eingesaugt werden.

Sie müssen nicht akzeptieren, dass für einige alte Protokolle Kennwörter im Klartext erforderlich sind. Wenn wir alle aufhören, solche Dienste anzunehmen, würden die Dienstleister wahrscheinlich etwas dagegen unternehmen und schließlich die alte Technologie ablehnen.

Manche Menschen können sich daran erinnern, dass man, wenn man einmal in ein Flugzeug steigen möchte, um in ein anderes Land zu fliegen, buchstäblich nur vom Straßenparkplatz in das Flugzeug steigt. Keine Sicherheit was auch immer. Heutzutage erkannten die Menschen, dass angemessene Sicherheitsmaßnahmen erforderlich sind und alle Flughäfen haben sie eingerichtet.

Ich würde zu einem anderen E-Mail-Anbieter wechseln. Die Suche nach "sicherem E-Mail-Anbieter" liefert viele Ergebnisse.

Es gab einige gute Punkte in den Kommentaren. Wahrscheinlich wäre die Suche nach "sicheren E-Mail-Anbietern" sehr sinnvoll, da alle E-Mail-Anbieter sich ihrer Sicherheit rühmen würden. Ich kann jedoch keine bestimmte Firma empfehlen und es ist wahrscheinlich auch keine gute Idee, dies zu tun. Wenn Sie ein bestimmtes Unternehmen identifizieren, ist es eine gute Sache, zuerst eine harte Frage zur Sicherheit zu stellen.

Meine Empfehlung ist zu gehen und die nächsten Leute zu fragen, was ihre Richtlinien zuerst sind!
Wenn Sie sich gut fühlen, können Sie den alten Anbietern mitteilen, warum Sie abreisen.

Um auch die Aussage einer anderen Antwort anzusprechen, sind die Tage der Regenbogentabellen vergangen. Sie wurden von leistungsstarken GPUs abgelöst und beanspruchen zu viel Speicherplatz (Binär-Hashes komprimieren offensichtlich nicht gut; und Sie würden sie sowieso nicht in ASCII speichern). Es ist schneller, den Hash auf einer GPU (neu) zu berechnen, als ihn von der Festplatte zu lesen.

Abhängig vom verwendeten Hash-Algorithmus und der GPU kann erwartet werden, dass ein moderner Computer zum Knacken von Passwörtern etwa 100 Millionen bis eine Milliarde Hashes pro Sekunde durchläuft. Nach diesem , das bedeutet , jedes 6-Zeichen - Passwort in Sekunden geknackt werden kann (was ein wenig auf , was es denkt , dass ein Computer / Supercomputer tun kann , datiert ist). Tabellen für 7- und 8-Zeichen-Hashes in allen verschiedenen Algorithmen (MD5, SHA-1, SHA-256, SHA-512, Blowfish usw.) belegen übermäßig viel Speicherplatz (stellen Sie fest, dass Sie sie auf einer SSD speichern müssen) und Sie können sehen, warum wörterbuchbasierte Angriffe mit der GPU schneller zu Passwörtern führen.

Ein schöner Artikel für diejenigen, die in die Szene kommen, ist, wie ich ein Passwort-Cracker bei Ars Technica wurde.

Das ist mir passiert!

Vor einigen Jahren wurde meine Identität gefährdet, als mein Hosting-Anbieter (der zu dieser Zeit auch mein E-Mail-Anbieter war) eine Sicherheitsverletzung erlitt. Ich konnte meine E-Mails nicht abrufen, da mein Passwort zurückgesetzt wurde. Mit Kontrolle über meine E-Mail haben sie versucht, mein Passwort bei Amazon und PayPal zurückzusetzen. Sie können sich vorstellen, was als nächstes kam, oder? Betrügerische Kreditkartengebühren!

Glücklicherweise konnte ich relativ schnell herausfinden, was passierte, meinen Hosting-Provider ans Telefon holen und meine Identität sorgfältig validieren, obwohl Kontoinformationen und Sicherheitsfragen geändert wurden (alles innerhalb weniger Stunden). Während dieses Gesprächs konnte mir der Kundendienstmitarbeiter mitteilen, wann und auf welche Weise mein Kennwort geändert wurde. Das war alles, was ich hören musste, um zu wissen, dass ich unbedingt den Anbieter wechseln musste.

Es gibt keinen Grund, warum es Ihnen, unserem Unternehmen, passieren sollte!

Ich ahnte die Gründlichkeit des Unternehmens in Bezug auf die Sicherheit, Dinge, die ich hier und da während meiner jahrelangen Arbeit mit ihnen bemerkt hatte. Aber ich habe mich immer davon überzeugt, dass es keine große Sache war oder dass ich mich geirrt habe. Ich habe mich nicht geirrt und du auch nicht!

Wenn ich gehandelt hätte, als ich zum ersten Mal vermutet hätte, dass sie die Sicherheit nicht ernst nehmen, wäre dieser ganze Mini-Albtraum niemals passiert. Sie möchten überlegen, was passieren könnte, wenn ein wertvolles Unternehmenskonto kompromittiert wird? Sie würden leicht davonkommen, wenn sie nur SPAM senden würden. Die Firma, für die ich zu der Zeit arbeitete, nutzte ebenfalls diesen Anbieter und wir legten großen Wert darauf, so schnell wie möglich von der Firma abzuweichen.

Vertraue deinen Instinkten! Übergeben Sie nicht das Geld, wenn Sie aus Faulheit migrieren oder weil Ihr bestehendes Setup "gut funktioniert". Das Schlimmste an schwachen Sicherheitsvorkehrungen wie dem Speichern von Passwörtern im Klartext, der unsachgemäßen Konfiguration von Servern usw. ist, dass sie mit einer allgemeinen Inkompetenz und / oder Faulheit in ihrer technischen Kultur zu tun haben. Diese Kultur möchte ich nicht, dass die Mission meines Unternehmens kritisch ist Servicevertrag überall in der Nähe.

Ich sehe eine alternative Erklärung, wo Ihr Passwort tatsächlich auf den Servern Ihres Providers gehasht wird.

Als der Anbieter Sie einen Tag später kontaktierte, hat er es wahrscheinlich (und dies ist eine Vermutung) aus den Serverprotokollen gezogen, da sein Skript zur Passwortänderung Daten über die GET-Methode übermittelt.

Es klingt einfacher als wenn Ihr Provider eine Datenbank mit Aufzeichnungen darüber hat, wann, wer und wie sein Passwort geändert wurde. Du kennst Occams Rasiermesser ...;)