it-swarm.com.de

Website, die ein Klartext-Passwort zurückgibt

Ich habe mich kürzlich auf einer Website angemeldet. Wenn ich auf die Seite "Profil aktualisieren" geklickt habe, wird eine Liste mit Textfeldern für alle Benutzerfelder angezeigt, z. Name, E-Mail, Telefonnummer usw.

Es gibt auch ein Feld für das Passwort und das Bestätigen des Passworts (wenn Sie diese Werte aktualisieren möchten). Wenn Sie jedoch auf diese Seite gehen, sind diese Felder bereits ausgefüllt, was mich zu der Überlegung veranlasste, warum Platzhalter eingefügt werden.

Wenn Sie in das Inspect-Element gehen, haben sie tatsächlich die Werte Ihres Passworts, die wie folgt in Großbuchstaben umgewandelt werden:

<input type="password" name="txtPassword2" size="45" value="MYPASSAPPEARSHERE">

Ich habe kürzlich auch festgestellt, dass die Angabe Ihres Passworts oder Benutzernamens beim Anmelden irrelevant ist - z. Ich kann es in Großbuchstaben, alle unteren oder eine Mischung aus beiden setzen und es wird immer noch das Passwort akzeptieren.

Ist dies eine Sicherheitslücke und bedeutet dies, dass Passwörter als einfacher Text gespeichert werden?

Dies ist kein Duplikat von ( Was ist mit Websites zu tun, auf denen Nur-Text-Passwörter gespeichert sind ), da ich hier um Klarstellung bitte, ob dies anzeigt die Website speichert Klartext-Passwörter, anstatt was dagegen zu tun ist.


Antwort des Unternehmens : Nach hartem Druck gestand das Unternehmen, dass es sich tatsächlich um Passwörter handelt, die im Klartext gespeichert sind.

63
stzvggmd

Ganz offensichtlich, wenn sie Ihr Passwort anzeigen können, speichern sie Ihr Passwort irgendwie. Möglicherweise wird Ihr Kennwort beim Anmelden auf der Clientseite zwischengespeichert (aus nicht zu rechtfertigenden Gründen, z. B. aus Gründen der Sitzungsverwaltung). Wahrscheinlicher ist jedoch, dass die Kennwortdatenbank im Klartext vorliegt. In jedem Fall ist es gespeichert und sollte es nicht sein.

Und es sieht so aus, als würden sie eine upper() - Funktion für das Passwort ausführen, die 26 Zeichen aus dem potenziellen Zeichensatz löscht, der sonst eine gewisse Entropie hinzugefügt hätte.

Dies ist eine sehr, sehr schlechte Sicherheit für sie, die seit zwei Jahrzehnten keinen Platz mehr hat.

117
schroeder

Das Klartext-Passwort ist ein klaffendes Sicherheitsproblem.

  1. Erstens sollten sie es nicht einmal wissen. Passwörter sollten gehasht und gesalzen gespeichert werden. Wer das nicht tut, ist ein [von Redakteuren zensierter].
  2. Zweitens ist das Senden des Passworts über das Kabel, wenn dies nicht unbedingt erforderlich ist, ein zweiter großer Sicherheitsfehler.
  3. Drittens führt die Aufnahme in die Webseite an dieser Stelle nur zu einer Beleidigung der Verletzung.

Dass sie den Fall wegwerfen, ist im Vergleich dazu harmlos. Es ist tatsächlich etwas, das einen vernünftigen Kompromiss zwischen Sicherheit und Benutzerfreundlichkeit darstellen kann. Es kann auch sein, dass sie ein altes Backend-System verwenden, das Groß-/Kleinschreibung nicht unterstützt. Ich habe das mit Mainframes gesehen. Es sollte irgendwo geschrieben werden, dass bei Passwörtern die Groß- und Kleinschreibung nicht berücksichtigt wird, aber ehrlich gesagt ist dieser im Vergleich zu den ersten drei Streiks kaum erwähnenswert.

13
Tom

Um ehrlich zu sein, wir wissen nicht.

Sie könnten speichern das Passwort im Klartext, sie könnten speichern es verschlüsselt. Beides wäre ziemlich katastrophal. Sie könnten speichern es in der Sitzung (d. H. Serverseitig), wenn Sie sich anmelden, was etwas weniger katastrophal, aber immer noch schlecht wäre. Sie könnten sogar, dass Sie es in einem Cookie speichern (d. H. Auf der Clientseite) und dann das Skript mit dem Benutzerprofil in das Formular einfügen, was ebenfalls immer noch schlecht wäre.

Was auch immer es ist, es gibt keinen guten oder vernünftigen Grund oder tatsächlich irgendeinen Grund, den ich mir vorstellen könnte, warum man das Passwort brauchen würde oder sogar wollen unnötig und länger als unbedingt nötig. Oder warum es brauchen wäre, in der Form zu sein.

Je länger Sie etwas geheim halten, egal wie sicher oder unsicher es ist, desto höher ist die Wahrscheinlichkeit, dass "etwas" passiert und Geheimnisse nicht mehr geheim sind.

Also ... was auch immer es ist, es ist im Allgemeinen kein gutes Muster. Wie ernst es wirklich ist, können wir nicht sagen.

Gleiches gilt für die Großbuchstaben des Passworts. Wir wissen nicht was sie machen dort. Sie könnten jedes Passwort in Großbuchstaben betrachten, was ziemlich schlecht wäre, da es einen Brute-Force-Angriff ungefähr doppelt so effektiv macht. Angesichts der Tatsache, dass möglicherweise Klartext-Passwörter gespeichert werden, ist dies irgendwie vernachlässigbar. Online-Brute-Force-Angriffe sind unwahrscheinlich und leicht zu vereiteln, und Offline-Angriffe, na ja ... wenn die Passwörter Klartext ... sind, wissen Sie. Wen interessiert das an diesem Punkt?.

Sie könnten nur Großbuchstaben für dieses Formular, damit Ihnen ein "superschlaues" Javascript-Snippet sagt, dass "das zu ähnlich ist", wenn Sie das Passwort ändern, was auch immer. Wir wissen es nicht. Aber was auch immer es ist, es ist nicht gut.

6
Damon