คุณจะทำอย่างไรถ้าคุณตระหนักว่าผู้ให้บริการโฮสต์อีเมลของคุณสามารถเห็นรหัสผ่านของคุณได้


31

เราได้รับอีเมลเมื่อปีที่แล้วจากผู้ให้บริการโฮสติ้งของเราเกี่ยวกับหนึ่งในบัญชีของเรา - มันถูกบุกรุกและใช้เพื่อส่งมอบความช่วยเหลือที่ค่อนข้างใจดีของสแปม

เห็นได้ชัดว่าผู้ใช้รีเซ็ตรหัสผ่านของเธอเป็นรูปแบบของชื่อของเธอ (นามสกุลคือสิ่งที่คุณอาจเดาได้ในครั้งแรก) เธอถูกแฮ็คภายในหนึ่งสัปดาห์บัญชีของเธอส่งอีเมลสแปมจำนวน 270,000 ฉบับและรวดเร็วมาก อุดตัน

จนถึงตอนนี้ไม่มีอะไรผิดปกติโดยเฉพาะอย่างยิ่ง เกิดขึ้น. คุณเปลี่ยนรหัสผ่านเป็นสิ่งที่ปลอดภัยยิ่งขึ้นให้ความรู้แก่ผู้ใช้และดำเนินการต่อ

แต่สิ่งที่ห่วงผมมากยิ่งขึ้นกว่าที่เป็นจริงของบัญชีของเราได้รับการโจมตี

ผู้ให้บริการโฮสต์ของเราในความพยายามที่จะเป็นประโยชน์เสนอราคารหัสผ่านให้กับเราทางอีเมล์

ป้อนคำอธิบายรูปภาพที่นี่

ฉันประหลาดใจ เรากำลังจะต่อสัญญาของเราเร็ว ๆ นี้ - และนี่รู้สึกเหมือนเป็นผู้แจกไพ่

เป็นเรื่องธรรมดาเพียงใดที่ผู้ให้บริการโฮสติ้งจะสามารถค้นหารหัสผ่านจริงที่ใช้กับบัญชีได้

ทำมากที่สุดในผู้ให้บริการโฮสติ้งมีแผนกการละเมิดบัญชีที่มีการเข้าถึงมากกว่าพนักงานหน้าบรรทัด (และสามารถดูรหัสผ่านถ้าจำเป็น) หรือคนเหล่านี้ก็ไม่ได้ดังต่อไปนี้ปฏิบัติที่ดีที่สุดในการทำให้มันเป็นไปได้สำหรับการใด ๆของพนักงานของตนให้กับผู้ใช้เข้าถึง รหัสผ่าน? ฉันคิดว่ารหัสผ่านควรจะถูกแฮชและไม่สามารถเรียกคืนได้? นี่หมายความว่าพวกเขาเก็บรหัสผ่านของทุกคนในรูปแบบข้อความธรรมดาหรือไม่?

มันเป็นเรื่องถูกกฎหมายหรือไม่ที่ผู้ให้บริการโฮสติ้งจะสามารถค้นพบรหัสผ่านของบัญชีในลักษณะนี้ได้? มันช่างน่าเหลือเชื่อเหลือเกินสำหรับฉัน

ก่อนที่เราจะพิจารณาผู้ให้บริการที่เปลี่ยนแปลงฉันต้องการความมั่นใจว่านี่ไม่ใช่การปฏิบัติทั่วไปและผู้ให้บริการโฮสติ้งรายต่อไปของเราจะไม่ตั้งสิ่งต่าง ๆ ในลักษณะเดียวกัน

รอคอยที่จะได้ยินมุมมองของคุณเกี่ยวกับเรื่องนี้


4
ในขณะที่เห็นได้ชัดว่ามีความกังวลอย่างมากสำหรับทุกคนที่คุณรู้ว่านี่เป็นเพียงหนึ่งในสองของตัวแทนโทรศัพท์บันทึกรหัสผ่านใหม่ในตั๋ว (ซึ่งพวกเขาไม่ควรทำ) และตัวแทนอีกคนเห็นมันในตั๋ว คุณอยู่ในสิทธิ์ที่จะต้องการคำตอบ แต่เนื่องจากคุณไม่ทราบว่ารหัสผ่านถูกดึงมาได้อย่างไร
Andrew B

1
ฉันรู้ว่าผู้ใช้ตั้งรหัสผ่านผ่านเว็บอินเตอร์เฟส พวกเขาดึงมันขึ้นมาจากบันทึกบนเซิร์ฟเวอร์ - ไม่มีใครในสำนักงานได้พูดคุยกับพวกเขาเกี่ยวกับเรื่องนี้ทางโทรศัพท์ (นอกจากนี้ฉันเชื่อว่าผู้ให้บริการรายนี้มีการสนับสนุนทางอีเมลเท่านั้น)
Austin '' Danger '' พลัง

3
ฉันจะทำอย่างไร ยัก. ทุกสิ่งที่คุณทำในระบบที่ควบคุมโดยบุคคลอื่นจะปรากฏแก่พวกเขา หากคุณไม่ต้องการให้บุคคลอื่นเห็นข้อมูลนี้ในระบบอีเมลของคุณให้เรียกใช้และโฮสต์ด้วยตนเอง คุณอาจไม่เห็นด้วยกับสิ่งที่พวกเขาทำกับข้อมูลที่พวกเขาตามคำจำกัดความมี แต่ถ้าไม่มีภาระผูกพันตามสัญญาที่พวกเขาจะไม่ทำคุณก็ต้องเซ็นสัญญา
MadHatter สนับสนุนโมนิก้า

19
การจัดเก็บรหัสผ่านแบบธรรมดานั้นไม่ดี ( Time to find a new providerแย่มาก!) - มีคนจำนวนมากที่ทำเช่นนั้น แต่ยัง: BAD คุณส่งรหัสผ่านในอีเมลที่ไม่ได้เข้ารหัสหรือไม่ ทุกความหวังของฉัน นั่นแสดงให้เห็นว่าไม่สนใจความปลอดภัย วิ่งอย่าเดินไปหาผู้ให้บริการรายใหม่ด้วยสามัญสำนึกบางอย่าง ...
voretaq7

2
ฉันต้องการขยายสิ่งที่ @MadHatter พูดไว้: ผู้คนจำนวนมากที่นี่กำลังจดจ่อกับแนวคิดของ "การจัดเก็บรหัสผ่านธรรมดา" ความจริงง่ายๆคือถ้าฉันใช้เซิร์ฟเวอร์ POP / IMAP, เซิร์ฟเวอร์ SSH หรือสิ่งอื่นที่คุณสามารถพิมพ์รหัสผ่านของคุณก็สามารถกำหนดค่าให้บันทึกรหัสผ่านนั้นเมื่อคุณพิมพ์โดยไม่คำนึงว่าจะเป็นหรือไม่ ฉันกำลังเก็บสิ่งที่ถูกแฮชหรือในข้อความธรรมดา Google สามารถดูรหัสผ่านของคุณและ Dropbox สามารถดูรหัสผ่านของคุณและ Facebook สามารถดูรหัสผ่านของคุณได้ คุณอาจเชื่อถือผู้ให้บริการหรือโฮสต์ด้วยตัวคุณเอง
larsks

คำตอบ:


33

ใช่เป็นเรื่องปกติสำหรับผู้ให้บริการอินเทอร์เน็ตและผู้ให้บริการอีเมลในการจัดเก็บรหัสผ่านของคุณในรูปแบบข้อความธรรมดาหรือรูปแบบที่สามารถกู้คืนเป็นข้อความธรรมดาได้อย่างง่ายดาย

เหตุผลนี้เกี่ยวข้องกับโปรโตคอลการตรวจสอบความถูกต้องที่ใช้กับ PPP (dialup และ DSL), RADIUS (dialup, 802.1x, ฯลฯ ) และ POP (อีเมล) และอื่น ๆ

ข้อดีข้อเสียคือถ้ารหัสผ่านถูกแฮชข้อมูลทางเดียวในฐานข้อมูลของ ISP ดังนั้นโปรโตคอลการตรวจสอบความถูกต้องเพียงอย่างเดียวที่สามารถใช้ได้คือรหัสผ่านที่ส่งผ่านรหัสผ่านในรูปแบบข้อความธรรมดา แต่ถ้า ISP เก็บรหัสผ่านจริงไว้คุณสามารถใช้โปรโตคอลการพิสูจน์ตัวตนที่ปลอดภัยยิ่งขึ้น

ตัวอย่างเช่นการรับรองความถูกต้อง PPP หรือ RADIUS อาจใช้ CHAP ซึ่งจะรักษาความปลอดภัยข้อมูลการตรวจสอบในระหว่างการขนส่ง แต่ต้องใช้รหัสผ่านข้อความธรรมดาที่จะถูกจัดเก็บโดย ISP ในทำนองเดียวกันกับส่วนขยาย APOP เป็น POP3

นอกจากนี้บริการต่าง ๆ ทั้งหมดที่ ISP ให้บริการทั้งหมดใช้โปรโตคอลที่แตกต่างกันและวิธีเดียวที่จะให้พวกเขาทั้งหมดรับรองความถูกต้องกับฐานข้อมูลเดียวกันคือการเก็บรหัสผ่านเป็นข้อความธรรมดา

สิ่งนี้ไม่ได้แก้ไขปัญหาของใครในหมู่พนักงานของ ISP ที่สามารถเข้าถึงฐานข้อมูลและมีความปลอดภัยดีเพียงใด คุณควรถามคำถามยาก ๆ

อย่างที่คุณอาจได้เรียนรู้แล้วในตอนนี้มันเกือบจะไม่เคยได้ยินมาก่อนว่าฐานข้อมูลของ ISP ถูกบุกรุกในขณะที่มันเป็นเรื่องธรรมดาที่ผู้ใช้แต่ละคนจะถูกโจมตี คุณมีความเสี่ยงไม่ทางใดก็ทางหนึ่ง

ดูเพิ่มเติมฉันผิดที่จะเชื่อว่ารหัสผ่านไม่ควรกู้คืนได้ (แฮชทางเดียว) บนเว็บไซต์น้องสาวของเราความปลอดภัยด้านไอที


2
APOP เป็นโปรโตคอลที่ตายแล้วและ MSCHAPv2 ไม่ต้องการให้เซิร์ฟเวอร์รู้รหัสผ่านอย่างชัดเจน - ฉันไม่คิดว่าจะมีเหตุผลมากมายที่ผู้ให้บริการจะเก็บรหัสผ่านที่ชัดเจนในปัจจุบัน
เชนหัวเสีย

1
@ShaneMadden คุณพูดถูก มันเป็น CHAP แทนที่จะเป็น MSCHAP และใช่โปรโตคอลเหล่านี้จะตายแล้ว แต่ผู้ให้บริการที่ได้รับรอบตลอดไปอาจยังคงใช้พวกเขาสำหรับการให้บริการแบบดั้งเดิม
Michael Hampton

ใช่ - แต่ฉันอยากจะคิดว่าผู้ให้บริการแบบดั้งเดิมจำนวนมากมี LDAP เก่าที่เต็มไปด้วย{crypt}รหัสผ่านแทนที่จะเป็นรหัสผ่านที่ซับซ้อน(วิธีการดำเนินการโดยคนที่ฉันเคยดูเบื้องหลัง) ) แม้ว่านั่นอาจเป็นเพียงความคิดที่ปรารถนา
เชนแมดเดน

1
หมายเหตุการเข้ารหัสลับบังคับ"การแลกเปลี่ยนในที่นี้คือหากรหัสผ่านถูกแฮชทางเดียวในฐานข้อมูลของ ISP ดังนั้นโปรโตคอลการตรวจสอบความถูกต้องเดียวที่สามารถใช้ได้คือรหัสที่ส่งรหัสผ่านบนลวดในรูปแบบข้อความล้วน แต่ถ้า ISP จัดเก็บ รหัสผ่านจริงจากนั้นจึงสามารถใช้โปรโตคอลการตรวจสอบความปลอดภัยที่ปลอดภัยยิ่งขึ้น " โดยทั่วไปไม่เป็นความจริง เป็นจริงเท่านั้นเนื่องจากไม่มีโปรโตคอลที่มีอยู่ที่อนุญาตให้ใช้รูปแบบการตรวจสอบความปลอดภัยด้วยรหัสผ่านที่แฮช
orlp

1
@ nightcracker เปรียบเทียบกับจำนวนข้อมูลที่คุณจะถ่ายโอน (เข้ารหัสเช่นกันฉันหวังว่า) ข้อมูลการตรวจสอบจำนวนเล็กน้อยไม่ควรรบกวนคุณมากนัก
Tobias Kienzler

12

นี่คือโชคไม่ดีที่ค่อนข้างพบได้ทั่วไปกับโฮสต์งบประมาณและไม่เคยได้ยินแม้แต่กับโฮสต์ที่ใหญ่กว่า สิ่งต่าง ๆ เช่น cPanel ต้องการรหัสผ่านแบบข้อความธรรมดาของคุณเพื่อให้สามารถเข้าสู่บริการต่าง ๆ ตามที่คุณเป็นต้น

สิ่งเดียวที่คุณทำได้คือถามล่วงหน้าว่ารหัสผ่านถูกแฮชหรือไม่


28
เป็นเจ้าบ้านที่ราคาประหยัดมาก ... ฉันรู้ว่ามันดีเกินกว่าจะเป็นจริงได้ นี่มันทำให้ฉันบ้าไปแล้ว อย่างไรก็ตามขอบคุณที่ผสานคอของคุณด้วยคำตอบ ตอนแรกฉันคิดว่ามันเป็นคำสั่งซื้อสูง แต่คุณเพิ่มขึ้นถึงโอกาส คำตอบเช่นนี้ช่วยให้ไซต์นี้เข้าถึงความสูงใหม่ ฉันคิดว่าการทำเครื่องหมายนี้เป็นคำตอบที่ดีที่สุด แต่มันคือคอและคอ
Austin '' Danger '' พลัง

7

พวกเขาน่าจะเก็บรหัสผ่านในข้อความล้วนหรือใช้การเข้ารหัสแบบย้อนกลับบางชนิด

ในขณะที่คุณได้คาดการณ์สิ่งนี้แย่มาก

ไม่ว่าจะเกิดจากความมุ่งร้ายหรือความประมาทเลินเล่อของพนักงานหรือการบุกรุกระบบของพวกเขาโดยบุคคลภายนอกรหัสผ่านข้อความธรรมดาที่ถูกนำไปใช้ในทางที่ผิดนั้นสร้างความเสี่ยงร้ายแรง - ไม่เพียง แต่ระบบของพวกเขาเท่านั้น

การจัดเก็บข้อมูลที่มีความรับผิดชอบของรหัสผ่านที่หมายถึงการใช้ทางเดียวฟังก์ชั่นคร่ำเครียดแทนการเข้ารหัสลับที่มีเกลือ (ข้อมูลแบบสุ่ม) เพิ่มการป้อนข้อมูลของผู้ใช้เพื่อป้องกันการใช้งานของตารางรุ้ง

ถ้าฉันอยู่ในรองเท้าของคุณฉันจะถามคำถามยาก ๆ เกี่ยวกับวิธีการพวกเขาเก็บรหัสผ่านและวิธีการที่ตัวแทนสนับสนุนของพวกเขาสามารถเรียกคืนรหัสผ่านได้ นี่อาจไม่ได้หมายความว่าพวกเขาเก็บรหัสผ่านเป็นข้อความธรรมดา แต่บางทีพวกเขากำลังบันทึกพวกเขาบางที่เมื่อมีการเปลี่ยนแปลง - ยังมีความเสี่ยงมาก


1
ฉันจะถามคำถามพวกเขาและโพสต์กลับมาที่นี่หากพวกเขาพูดอะไรที่น่าสนใจ ข้อกังวลที่ใหญ่ที่สุดของฉันคือพวกเขาสามารถทำได้ 1) อ่านอีเมลใด ๆ ของเรา 2) ในการอ่านอีเมลของเราดูการอ้างอิงไปยังบัญชีอีเมลส่วนตัว 3) หากผู้ใช้ใช้รหัสผ่านเดียวกันสำหรับที่ทำงานและอีเมลส่วนตัว ประนีประนอมเช่นกัน
Austin '' Danger '' พลัง

@ Austin''Danger''Powers "อาจเป็นไปได้ 1) อ่านอีเมลใด ๆ ของเรา " โฮสต์ใด ๆ สามารถทำได้ - ไม่มีข้อยกเว้น (สมมติว่าเนื้อหาอีเมลนั้นไม่ได้ถูกเข้ารหัสโดยผู้ส่ง แต่เป็นเรื่องอื่น)
orlp

ฉันคิดว่าเป็นไปได้สำหรับการสนับสนุนระดับบนเท่านั้น ถ้าดูรหัสผ่านคือสิ่งใด ๆของพนักงานการสนับสนุนของพวกเขาสามารถทำแล้วความเสี่ยงของการทุจริต / เบื่อ poking พนักงานผ่านทางอีเมลของเราเพิ่มขึ้น
Austin '' Danger '' พลัง

5

คำตอบอื่น ๆ ทั้งหมดนั้นยอดเยี่ยมและมีคะแนนทางประวัติศาสตร์ที่ดีมาก

อย่างไรก็ตามเราอยู่ในยุคที่การจัดเก็บรหัสผ่านเป็นข้อความล้วนก่อให้เกิดปัญหาทางการเงินครั้งใหญ่และอาจทำลายธุรกิจได้อย่างเต็มที่ การส่งรหัสผ่านเป็นข้อความธรรมดาผ่านอีเมลที่ไม่ปลอดภัยก็ฟังดูไร้สาระในยุคของ NSA ที่ดูดข้อมูลการส่งผ่านทั้งหมดเข้ามา

คุณไม่จำเป็นต้องยอมรับความจริงที่ว่าบางโปรโตคอลเก่าต้องใช้รหัสผ่านเป็นข้อความธรรมดา หากเราทุกคนหยุดรับบริการดังกล่าวอาจเป็นไปได้ว่าผู้ให้บริการจะทำอะไรเกี่ยวกับมันและในที่สุดก็เลิกใช้เทคโนโลยีโบราณ

บางคนจำได้ว่าครั้งหนึ่งเมื่อคุณต้องการขึ้นเครื่องบินเพื่อบินไปยังประเทศอื่นคุณแค่เดินขึ้นเครื่องบินจากที่จอดรถบนถนน ไม่มีความปลอดภัยอะไรเลย ทุกวันนี้ผู้คนตระหนักดีว่าจำเป็นต้องมีมาตรการรักษาความปลอดภัยที่เหมาะสม

ฉันจะเปลี่ยนไปใช้ผู้ให้บริการอีเมลรายอื่น การค้นหา "ผู้ให้บริการอีเมลที่ปลอดภัย" ให้ผลลัพธ์จำนวนมาก

มีบางจุดที่ดีในการแสดงความคิดเห็น การค้นหา "ผู้ให้บริการอีเมลที่ปลอดภัย" อาจเป็นเรื่องที่สมเหตุสมผลเนื่องจากผู้ให้บริการอีเมลทุกรายจะปลอดภัย อย่างไรก็ตามฉันไม่สามารถแนะนำ บริษัท ใด บริษัท หนึ่งได้และอาจไม่ควรทำเช่นนั้น หากคุณระบุ บริษัท ใด บริษัท หนึ่งที่ถามคำถามยาก ๆ เกี่ยวกับความปลอดภัยก่อนจะเป็นเรื่องดีที่ต้องทำ


1
หนึ่งในสาเหตุที่ผู้ดูแลเว็บคนสุดท้ายของเราแนะนำผู้ให้บริการรายนี้เพราะมันควรจะ "ปลอดภัยกว่า" ก่อนหน้านี้ ไม่ช้าฉันก็ค้นพบว่าพวกเขาจะไม่อนุญาตให้ใช้อักขระพิเศษบางอย่างในรหัสผ่านที่เราเคยสามารถใช้งานได้หลังจากนั้นเจ้าหน้าที่ของพวกเขาสามารถเข้าถึงรหัสผ่านของเราได้ เหตุผลเดียวที่พวกเขา "ปลอดภัยมากขึ้น" ก็เพราะพวกเขาบังคับให้เราตอบสนองความต้องการขั้นต่ำ / ความซับซ้อนของรหัสผ่านขั้นต่ำ - เรื่องใหญ่
Austin '' Danger '' พลัง

ทุกคนเรียกบริการของพวกเขาว่า "ปลอดภัย" แต่กลับกลายเป็นว่านั่นอาจไม่ได้หมายความว่าคุณคิดอย่างนั้นเสมอไป ระบบควรทำให้เป็นไปไม่ได้ ฉันทำงานกับ ISP มาหลายปีแล้วและถึงแม้ว่าฉันสามารถรีเซ็ตรหัสผ่านอีเมลของลูกค้าใด ๆ ได้ฉันก็ไม่มีทางที่จะเห็นสิ่งที่เป็นอยู่ในปัจจุบัน พวกเหล่านี้ในทางทฤษฎีสามารถอ่านอีเมลของเราโดยที่เราไม่รู้ ... ฉันไม่ควรจะต้องพึ่งพาความไว้วางใจ
Austin '' Danger '' พลัง

1
พวกเขาบังคับใช้ข้อกำหนดความยาวสูงสุดหรือไม่ ซึ่งมักเป็นนกขมิ้นสำหรับการจัดเก็บรหัสผ่านแบบธรรมดา
Mels

1
"ค้นหา" ผู้ให้บริการอีเมลที่ปลอดภัย "ให้ผลลัพธ์หลายรายการ" - ใช่และจำนวนเว็บไซต์ที่เก็บรหัสผ่านเป็นข้อความธรรมดาจะปรากฏขึ้นภายใต้ผลลัพธ์เหล่านั้นเพราะเชื่อว่าพวกเขาปลอดภัย อย่าเลือกโฮสติ้งสำหรับบริการที่คุณต้องการความปลอดภัยจากผลการค้นหาเล็กน้อย
Rob Moir

1
@RobM: แน่นอน มันใช้อะไรถามผู้ให้บริการหากพวกเขาเชื่อว่าบริการของตนเองมีความปลอดภัย? 100% จะพูดว่า "ใช่" ทำการค้นหาเว็บสำหรับคำทั่วไปเช่นนั้นเสียเวลาทั้งหมด ดูเหมือนว่าเป็นวิธีที่ไร้เดียงสาในการเข้าถึงปัญหาทั้งหมดจริง ๆ : " ระบบของคุณปลอดภัยหรือไม่ตกลงน่าอัศจรรย์ขอบคุณที่ชี้แจงว่าในกรณีนี้เราจะสมัครบริการของคุณโดยไม่ลังเล "
Austin '' Danger ''

3

คำแนะนำของฉันคือออกจากและถามคนต่อไปว่านโยบายของพวกเขาเป็นครั้งแรก!
หากคุณรู้สึกดีคุณสามารถบอกผู้ให้บริการเก่าว่าทำไมคุณถึงออกเดินทาง


นอกจากนี้เพื่อตอบคำถามของคำตอบอื่นวันของตารางสายรุ้งได้ผ่านไปแล้ว พวกเขาถูกแทนที่ด้วย GPU ที่มีพลังสูงและใช้พื้นที่เก็บข้อมูลมากเกินไป (เห็นได้ชัดว่าไบนารีแฮชไม่บีบอัดได้ดีและคุณจะไม่เก็บไว้ใน ASCII อยู่ดี) มันเร็วกว่าในการคำนวณแฮชของ GPU มากกว่าจะอ่านมันออกจากดิสก์

ขึ้นอยู่กับอัลกอริทึมแฮชที่ใช้และ GPU คอมพิวเตอร์ถอดรหัสรหัสผ่านที่ทันสมัยสามารถคาดเดาได้ว่าจะมีการแฮชประมาณ 100 ล้านถึงหนึ่งพันล้านแฮชต่อวินาที ตามนี้ (ซึ่งเป็นวันที่เล็กน้อยในสิ่งที่คิดว่าคอมพิวเตอร์ / ซูเปอร์คอมพิวเตอร์สามารถทำได้) ซึ่งหมายความว่ารหัสผ่าน 6-char ใด ๆ สามารถถอดรหัสในไม่กี่วินาที ตารางสำหรับแฮช 7 และ 8 แฮชในอัลกอริธึมต่าง ๆ (MD5, SHA-1, SHA-256, SHA-512, Blowfish ฯลฯ ) จะใช้พื้นที่ดิสก์ในปริมาณที่น้อยเกินไป (ตระหนักว่าคุณต้องเก็บไว้ใน SSD ไม่ใช่แผ่นเสียงแม่เหล็กสำหรับความเร็วในการเข้าถึง) และคุณสามารถดูได้ว่าเหตุใดการโจมตีด้วยพจนานุกรมโดยใช้ GPU จึงทำให้รหัสผ่านเร็วขึ้น

บทความที่ดีสำหรับผู้ที่มาในที่เกิดเหตุคือฉันกลายเป็นแคร็กเกอร์รหัสผ่านที่ Ars Technica ได้อย่างไร


หากย่อหน้าที่สองของคุณเป็นจริงจริง ๆ นั่นก็หมายความว่าการเกลือนั้นไร้ประโยชน์ นี่เป็นความเห็นส่วนตัวของคุณหรือตามข้อเท็จจริง?
Tobias Kienzler

@TobiasKienzler แน่นอนว่าการใช้ค่าที่เก็บไว้ในเอาต์พุตนั้นการใช้เกลือนั้นไม่ได้ผล แต่การใช้ความเป็นส่วนตัวนั้นยังคงเป็นการป้องกันการโจมตีด้วยพจนานุกรม นี่ไม่ใช่ความเห็นส่วนตัวของฉันมันเป็นการสังเกต (ทำโดยคนอื่น) เกี่ยวกับพฤติกรรมปัจจุบันของแครกเกอร์รหัสผ่าน ฉันยังปรับปรุงคำตอบเล็กน้อย
Nicholas Shanks

2
ด้วยค่าส่วนตัวคุณหมายถึงพริกไทยหรือเปล่า อย่างไรก็ตามคุณสมบัติที่จำเป็นของฟังก์ชั่นที่ดีคร่ำเครียดเป็น) พวกเขาเป็นอย่างรุนแรงใช้เวลานานหรือดียิ่งขึ้นข) พวกเขาสามารถเป็นห่วงโซ่ที่ใช้ในปริมาณที่มีขนาดใหญ่โดยพลการของครั้งเพื่อที่จะเพิ่มเวลาที่จำเป็น ดังนั้นในขณะที่ฉันยอมรับว่าแฮช / เกลือที่ล้าสมัยนั้นมีความสามารถในการแคร็ก แต่สิ่งที่มีความซับซ้อนเพิ่มขึ้นไม่เพียงพอ ที่เกี่ยวข้อง: รหัสผ่าน Hashing เพิ่มเกลือ + พริกไทยหรือเกลือเพียงพอหรือไม่
Tobias Kienzler

@TobiasKienzler ใช่ฉันไม่แน่ใจว่าฉันจะอยู่กับคุณได้อย่างไร :) เห็นได้ชัดว่าเว็บไซต์bcrypt()เหล่านี้ควรใช้งานในวันนี้
Nicholas Shanks

1
ในกรณีนี้ฉันเห็นด้วย แต่แฮชที่ไม่ดี / ล้าสมัย / ไม่ดี (เช่น MD5) นั้นอภัยเพียงในบริบทที่เกี่ยวข้องกับความปลอดภัย
Tobias Kienzler

1

สิ่งนี้เกิดขึ้นกับฉัน!

หลายปีที่ผ่านมาตัวตนของฉันถูกประนีประนอมเมื่อผู้ให้บริการโฮสต์ของฉัน (ซึ่งเป็นผู้ให้บริการอีเมลของฉันในเวลานั้น) ประสบปัญหาด้านความปลอดภัย ฉันตื่นขึ้นมาไม่สามารถตรวจสอบอีเมลได้เนื่องจากรหัสผ่านของฉันถูกรีเซ็ต ด้วยการควบคุมอีเมลของฉันพวกเขาพยายามรีเซ็ตรหัสผ่านของฉันที่ Amazon และ PayPal คุณสามารถเดาได้ว่าเกิดอะไรขึ้นต่อไปใช่ไหม ค่าธรรมเนียมบัตรเครดิตที่ฉ้อโกง!

โชคดีที่ฉันสามารถทราบได้ว่าเกิดอะไรขึ้นอย่างรวดเร็วรับผู้ให้บริการโฮสต์ทางโทรศัพท์และตรวจสอบตัวตนของฉันอย่างระมัดระวังแม้จะมีการเปลี่ยนแปลงข้อมูลบัญชีและคำถามความปลอดภัย (ทั้งหมดภายในไม่กี่ชั่วโมง) ในระหว่างการสนทนานี้ตัวแทนฝ่ายบริการลูกค้าสามารถบอกประวัติรหัสผ่านของฉันเมื่อมีการเปลี่ยนแปลงและอะไร นั่นคือทั้งหมดที่ฉันต้องได้ยินเพื่อทราบว่าฉันต้องการเปลี่ยนผู้ให้บริการอย่างแน่นอน

ไม่มีเหตุผลที่จะเกิดขึ้นกับคุณ บริษัท ของคุณ!

ฉันมีข้อสงสัยเกี่ยวกับ บริษัท นี้อย่างทั่วถึงเมื่อพูดถึงเรื่องความปลอดภัยสิ่งต่าง ๆ ที่ฉันสังเกตเห็นที่นี่ แต่ฉันมักจะโน้มน้าวตัวเองเสมอว่าไม่ใช่เรื่องใหญ่โตหรือบางทีฉันก็เข้าใจผิด ฉันไม่ผิดและไม่ใช่คุณ!

หากฉันได้ทำเมื่อฉันสงสัยว่าพวกเขาไม่ได้จริงจังกับการรักษาความปลอดภัยครั้งแรกว่ามินิฝันร้ายทั้งหมดจะไม่เกิดขึ้น หากคิดว่าจะเกิดอะไรขึ้นในกรณีที่บัญชี บริษัท ที่มีค่าถูกบุกรุก คุณจะออกตัวง่าย ๆ ถ้าพวกเขาส่งสแปมเท่านั้น บริษัท ที่ฉันทำงานอยู่ในขณะนั้นก็ใช้ผู้ให้บริการรายนี้เช่นกันและเราให้ความสำคัญกับการเปลี่ยนออกโดยเร็วที่สุด

เชื่อสัญชาตญาณของคุณ! อย่าส่งต่อการย้ายออกจากความเกียจคร้านหรือเนื่องจากการตั้งค่าที่มีอยู่ของคุณ "ทำงานได้ดี" ส่วนที่อันตรายที่สุดของการกำกับดูแลความปลอดภัยที่มีการแขวนต่ำเช่นการจัดเก็บรหัสผ่านในข้อความที่ชัดเจนการกำหนดค่าเซิร์ฟเวอร์ที่ไม่เหมาะสม ฯลฯ คือพวกเขาพูดถึงการไร้ความสามารถทั่วไปและ / หรือความเกียจคร้านในวัฒนธรรมทางเทคนิคของพวกเขา สัญญาบริการได้ทุกที่ใกล้


0

ฉันสามารถดูคำอธิบายเพิ่มเติมที่รหัสผ่านของคุณถูกแฮชบนเซิร์ฟเวอร์ของผู้ให้บริการของคุณ

ดังที่ผู้ให้บริการติดต่อคุณในอีกหนึ่งวันหลังจากนั้นเขาอาจ (และนี่คือการคาดการณ์) ดึงข้อมูลจากบันทึกเซิร์ฟเวอร์เนื่องจากสคริปต์การเปลี่ยนรหัสผ่านของเขากำลังส่งข้อมูลผ่านวิธีการ GET

ฟังดูง่ายกว่าผู้ให้บริการของคุณที่มีฐานข้อมูลที่เต็มไปด้วยบันทึกเวลาใครและวิธีการเปลี่ยนรหัสผ่านของเขา คุณจะรู้ว่ามีดโกนของ Occam ... ;)

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.