it-swarm.com.de

Speichert HostGator mein Passwort im Klartext?

Ich möchte dies HostGator mitteilen, aber meinen Verdacht überprüfen, bevor ich viel Aufhebens mache.

Ich habe einen Kundendienstmitarbeiter gebeten, mir beim Hinzufügen eines SSL-Zertifikats zu einer von mir gehosteten Site zu helfen. Als er fertig war, erhielt ich diese E-Mail mit allen meinen Anmeldeinformationen und meinem gesamten Passwort im Klartext (ich ließ den ersten Buchstaben als Beweis sichtbar). Ich habe dieses Passwort vor über einem Jahr eingerichtet, und es war eine große Überraschung, dass sie es mir ohne Aufforderung im Klartext zurückgeschickt haben:

(enter image description here

Ich brachte dies sofort dem Vertreter vor, der wiederholt versuchte, mich davon zu überzeugen, dass es in Ordnung sei. Ich beschloss, es nach ein paar Minuten fallen zu lassen, weil ich denke, ich sollte es jemandem höher bringen. Kann ich davon ausgehen, dass mein Passwort in der Datenbank als Klartext gespeichert ist, bevor ich dies tue? Wenn ja, haben Sie Vorschläge, wie Sie dieses Problem mit dem Anbieter beheben können?

(enter image description here

132
Marquizzo

Ja, das ist ein großes Problem, insbesondere wenn dies Ihr altes Passwort war (d. H. Kein neu zugewiesenes).

Technisch gesehen könnte das Passwort unter reversibler Verschlüsselung und nicht unter einfachem Text gespeichert werden, aber das ist fast genauso schlecht. Der absolute Mindeststandard sollte ein gesalzener Hash sein - alles andere und jeder mit Zugriff auf die Authentifizierungsdatenbank, der eine Online-Rainbow-Tabelle verwenden möchte, um die Klartext-Passwörter in wenigen Augenblicken zurückzugewinnen -, aber SHA-Funktionen (Single-Iteration Secure Hash Algorithmus) sind es Mit einer GPU ist sie immer noch leicht zu erzwingen (sie sind so konzipiert, dass sie schnell ist; eine High-End-GPU kann Milliarden pro Sekunde berechnen), daher sollten sie wirklich eine geeignete Passwort-Hashing-Funktion wie scrypt oder argon2 oder zur Not verwenden bcrypt oder PBKDF2.

Es gibt auch absolut keine Möglichkeit zu garantieren, dass die E-Mail auf dem gesamten Pfad zwischen ihrem Mailserver und Ihrem E-Mail-Client verschlüsselt wurde. E-Mail wurde an einem Tag entwickelt, an dem die Leute solche Dinge nicht wirklich als kritisch betrachteten. Ohne ein End-to-End-Verschlüsselungsschema wie OpenPGP oder S/MIME wird E-Mail bestenfalls verschlüsselt opportunistisch und kann durch ein unverschlüsseltes Relais geleitet werden.

183
CBHacking

Ja, sie speichern Passwörter im Klartext oder gleichwertig und übertragen sie definitiv im Klartext. Dies wurde im Jahr 2011 entdeckt.

Dies wird bestätigt, dass HostGator auf Plaintext Offenders sowie durch Eintrag in der CVS-Datei mit einer Liste von Straftätern aufgeführt ist. Dies ist nicht neu und seit mindestens 2011 bekannt. HostGator hat sich seitdem nicht reformiert. Die Website von Plaintext Offenders zeigt einen ähnlichen Screenshot wie Sie als Beweis:

HostGator sux

81
forest

Wenn die Antwort des Unternehmensvertreters wahr ist, wird das Kennwort als verschlüsselter Text gespeichert. Dies macht das Klartextkennwort in unaufgeforderten E-Mails zu einem größeren Problem .

kann man davon ausgehen, dass mein Passwort als Klartext in der Datenbank gespeichert ist?

Der Unternehmensvertreter erklärte ausdrücklich, dass das Passwort nicht im Klartext gespeichert wird. Unter der Annahme, dass er die Wahrheit sagt, ist meine Schlussfolgerung, dass sie das Passwort in verschlüsseltem Text speichern. Sie sind besser als Nur-Text-Passwörter, aber immer noch unsicher. Hashing und Salting ist der beste Weg, um Passwörter zu speichern.

Wenn das gespeicherte Passwort verschlüsselt ist, ist das größte Problem hier nicht die Art und Weise, wie es gespeichert wird, sondern die Art und Weise, wie es übertragen wird, in Klartext in einer E-Mail, wenn der Benutzer keine angefordert hat.

haben Sie Vorschläge, wie Sie dieses Problem mit dem Anbieter beheben können?

Sie können das Unternehmen bitten, Folgendes zu ändern (in der Reihenfolge der Priorität)

  1. Senden Sie keine Passwörter mehr per E-Mail.
  2. Geben Sie die Option Kennwort zurücksetzen an, anstatt sie wiederherzustellen.
  3. Ersetzen Sie verschlüsselte Passwörter durch Hashing und Salting.

Als Antwort auf Kommentare,

  1. Ja, es besteht eine hohe Wahrscheinlichkeit, dass der Mitarbeiter lügt oder nicht wusste, wovon er spricht. Es besteht aber auch die Möglichkeit, dass er die Wahrheit gesagt hat. Diese Antwort befasst sich mit diesem Szenario.
  2. Ich betrachte die Übertragung von Passwörtern als ein größeres Problem für die Speicherung, da dem OP das Passwort in einer E-Mail gesendet wurde, als er keine angefordert hat.
  3. Ich habe Systeme gesehen, die Passwörter in einem verschlüsselten Text speichern und sie auf Anfrage an Benutzer senden. Sie sind nicht sicher, aber sie existieren. Nur weil Sie Ihre Informationen im Klartext erhalten haben, ist dies keine Garantie dafür, dass sie auch so gespeichert werden.
2
Kolappan N