Was würden Sie tun, wenn Ihr E-Mail-Hosting-Anbieter Ihre Passwörter sehen könnte?

31

Wir haben letztes Jahr eine E-Mail von unserem Hosting-Anbieter erhalten, die sich auf eines unserer Konten bezog - es wurde kompromittiert und verwendet, um eine recht großzügige Portion Spam zu versenden.

Anscheinend hatte die Benutzerin ihr Passwort auf eine Variation ihres Namens zurückgesetzt (Nachname ist etwas, das Sie wahrscheinlich beim ersten Mal erraten konnten.) Sie wurde innerhalb einer Woche sofort gehackt - ihr Konto versendete eine Flut von 270.000 Spam-E-Mails - und war sehr schnell verstopft.

Bisher nichts besonders ungewöhnliches. Das passiert. Sie ändern Ihre Passwörter in etwas Sichereres, bilden den Benutzer ein und fahren fort.

Es hat mich jedoch noch mehr beschäftigt als die Tatsache, dass einer unserer Accounts kompromittiert wurde.

Um hilfreich zu sein, hat uns unser Hosting-Anbieter das Passwort in der folgenden E-Mail tatsächlich mitgeteilt:

Bildbeschreibung hier eingeben

Ich bin erstaunt. Wir werden unseren Vertrag bald verlängern - und das fühlt sich wie ein Dealbreaker an.

Wie häufig ist es für einen Hosting-Anbieter, das tatsächliche Passwort eines Kontos herauszufinden?

Verfügen die meisten Hosting-Anbieter über eine Abteilung für Kontenmissbrauch, die über mehr Zugriff als die Mitarbeiter an der Front verfügt (und bei Bedarf nach Passwörtern suchen kann), oder befolgen diese Mitarbeiter einfach nicht die bewährten Methoden, um es einem ihrer Mitarbeiter zu ermöglichen, auf Benutzer zuzugreifen Passwörter? Ich dachte, Passwörter sollten gehasht und nicht abrufbar sein? Bedeutet das, dass sie alle Passwörter im Klartext speichern?

Ist es überhaupt legal, dass ein Hosting-Anbieter Kontokennwörter auf diese Weise erkennt? Es kommt mir einfach unglaublich vor.

Bevor wir uns mit einem Providerwechsel befassen, möchte ich Ihnen versichern, dass dies nicht üblich ist und dass unser nächster Hosting-Provider die Dinge wahrscheinlich nicht auf die gleiche Weise einrichten würde.

Wir freuen uns auf Ihre Meinung dazu.

security email password best-practices Austin '' Danger '' Powers
quelle
4
Obwohl dies offensichtlich von großer Bedeutung ist, wissen Sie, dass dies ein Doppelschlag eines Telefonvertreters ist, der das neue Passwort in einem Ticket aufzeichnet (was er niemals tun sollte) und ein anderer Vertreter, der es in den Ticketnotizen sieht. Sie haben das Recht, Antworten zu verlangen, wissen jedoch derzeit nicht, wie das Kennwort abgerufen wurde.
Andrew B
1
Ich weiß, dass der Benutzer das Passwort über die Weboberfläche festgelegt hat. Sie haben es von den Aufzeichnungen auf dem Server abgerufen - niemand im Büro hat mit ihnen am Telefon darüber gesprochen (außerdem glaube ich, dass dieser Anbieter sowieso nur E-Mail-Unterstützung bietet)
Austin '' Danger '' Powers
3
Was würde ich tun? Zucken. Alles, was Sie auf Systemen tun, die von anderen gesteuert werden, ist für diese sichtbar. Wenn Sie nicht möchten, dass jemand anderes diese Sichtbarkeit in Ihren E-Mail-Systemen hat, führen Sie ihn selbst aus und hosten Sie ihn. Sie sind möglicherweise nicht damit einverstanden, was sie mit den Informationen tun, die sie per Definition haben, aber wenn sie nicht vertraglich dazu verpflichtet sind, haben Sie die Verträge unterzeichnet.
MadHatter unterstützt Monica
19
Das Speichern eines Klartext-Passworts ist schlecht (wie Time to find a new providerschlecht!) - viele Leute tun es aber trotzdem: SCHLECHT. Senden Sie das Passwort in einer unverschlüsselten E-Mail ? ALLES MEINE NEIN . Das zeigt eine beiläufige Missachtung der Sicherheit. Lauf, geh nicht zu einem neuen Anbieter mit
gesundem
2
Ich möchte auf das eingehen, was @MadHatter gesagt hat: Viele Leute hier konzentrieren sich auf die Idee, "Klartext-Passwörter zu speichern". Die einfache Tatsache ist, dass, wenn ich einen POP / IMAP-Server, einen SSH-Server oder etwas anderes verwende, in das Sie Ihr Kennwort eingeben können, es so konfiguriert werden kann, dass dieses Kennwort beim Eingeben protokolliert wird , unabhängig davon, ob es eingegeben wird oder nicht Ich speichere Dinge gehasht oder im Klartext. Google kann Ihr Passwort sehen und Dropbox kann Ihr Passwort sehen und Facebook kann Ihr Passwort sehen und so weiter. Sie vertrauen entweder Ihrem Provider oder hosten ihn selbst.
Larsks

Antworten:

33

Ja, ISPs und E-Mail-Dienstanbieter speichern Ihr Kennwort häufig im Nur-Text-Format oder in einem Format, das sich problemlos in Nur-Text-Format umwandeln lässt.

Der Grund dafür liegt unter anderem in den Authentifizierungsprotokollen für PPP (DFÜ und DSL), RADIUS (DFÜ, 802.1x usw.) und POP (E-Mail).

Der Nachteil hierbei ist, dass, wenn die Passwörter in der Datenbank des ISP in eine Richtung gehasht sind, die einzigen Authentifizierungsprotokolle verwendet werden können, die das Passwort im Klartext über die Leitung übertragen. Wenn der ISP jedoch das tatsächliche Kennwort speichert, können sicherere Authentifizierungsprotokolle verwendet werden.

Beispielsweise verwendet die PPP- oder RADIUS-Authentifizierung möglicherweise CHAP, wodurch die Authentifizierungsdaten während der Übertragung gesichert werden, es muss jedoch ein Nur-Text-Kennwort vom ISP gespeichert werden. Ähnlich verhält es sich mit der APOP-Erweiterung auf POP3.

Außerdem verwenden alle verschiedenen Dienste, die ein ISP anbietet, unterschiedliche Protokolle, und die einzige saubere Möglichkeit, sie alle bei derselben Datenbank authentifizieren zu lassen, besteht darin, das Kennwort im Klartext zu speichern.

Dabei geht es jedoch nicht darum , wer von den Mitarbeitern des Internetdienstanbieters Zugriff auf die Datenbank hat und wie gut diese gesichert ist. Sie sollten immer noch harte Fragen dazu stellen.

Wie Sie wahrscheinlich inzwischen erfahren haben, ist es fast unüblich, dass die Datenbank eines Internetdienstanbieters kompromittiert wird, während es für einzelne Benutzer nur allzu häufig ist, dass sie kompromittiert werden. Sie haben so oder so ein Risiko.

Siehe auch Täusche ich mich zu glauben, dass Passwörter niemals wiederherstellbar sein sollten (One-Way-Hash)? auf unserer Schwestersite IT-Sicherheit

Michael Hampton
quelle
2
APOP ist so gut wie ein totes Protokoll, und MSCHAPv2 benötigt den Server nicht, um das Kennwort im Klartext zu kennen. Ich glaube nicht, dass ein Diensteanbieter heutzutage wirklich viele Gründe hat, eindeutige Kennwörter zu verwenden.
Shane Madden
1
@ ShaneMadden Du hast recht; Es ist eher CHAP als MSCHAP. Und ja, diese Protokolle sind fast tot, aber Dienstanbieter, die es schon immer gab, verwenden sie möglicherweise immer noch für Legacy-Dienste.
Michael Hampton
Ja - obwohl ich gerne annehmen würde, dass mehr der alten Dienstanbieter über ein veraltetes LDAP mit {crypt}Passwörtern als mit Klartext-Passwörtern verfügen (der Ansatz, den ich in der Vergangenheit hinter den Kulissen verfolgt habe) ). Obwohl das nur Wunschdenken sein könnte.
Shane Madden
1
Obligatorischer Hinweis zur Kryptografie: "Der Nachteil hierbei ist, dass die einzigen Authentifizierungsprotokolle, die verwendet werden können, wenn die Kennwörter in der Datenbank des Internetdienstanbieters in eine Richtung gehasht sind, diejenigen sind, die das Kennwort drahtlos im Klartext übertragen. Wenn der Internetdienstanbieter dies jedoch speichert das eigentliche Passwort, dann können sicherere Authentifizierungsprotokolle verwendet werden. " ist im Allgemeinen nicht wahr. Es ist nur wahr , weil es keine gibt vorhandene Protokolle , der ein sicheres Authentifizierungsschema mit gehasht Passwörtern ermöglichen.
Orlp
1
@nightcracker im Vergleich zu der Menge an Daten, die Sie übertragen werden (auch verschlüsselt, hoffe ich), sollte die kleine Menge an Authentifizierungsdaten Sie nicht wirklich stören
Tobias Kienzler
12

Dies ist leider ziemlich häufig bei Budget-Hosts und selbst bei größeren Hosts nicht ungewöhnlich. Dinge wie cpanel benötigen häufig Ihr Klartext-Passwort, um sich bei verschiedenen Diensten wie Ihnen usw. anmelden zu können.

Das einzige, was Sie tun können, ist im Voraus zu fragen, ob die Passwörter gehasht wurden.

langer Hals
quelle
28
Es ist ein sehr preiswerter Gastgeber ... Ich wusste, dass es zu schön ist, um wahr zu sein. Das macht mich verrückt. Wie auch immer, danke, dass du eine Antwort auf deine Frage gegeben hast. Zuerst dachte ich, es sei eine große Aufgabe, aber Sie haben sich der Gelegenheit gestellt. Antworten wie diese helfen dieser Site, neue Höhen zu erreichen. Ich dachte daran, dies als beste Antwort zu markieren, aber es ist Hals an Hals.
Austin ‚‘ Gefahr ‚‘ Powers
7

Wahrscheinlich speichern sie Passwörter entweder im Klartext oder verwenden eine umkehrbare Verschlüsselung.

Wie Sie vermutet haben, ist das sehr schlecht.

Die missbräuchliche Verwendung von Klartextkennwörtern birgt ein schwerwiegendes Risiko - nicht nur für ihre Systeme, sondern auch für andere Systeme, auf denen Mitarbeiter möglicherweise dasselbe Kennwort verwendet haben.

Die verantwortungsvolle Speicherung von Passwörtern bedeutet die Verwendung von One-Way-Hashing-Funktionen anstelle von umkehrbarer Verschlüsselung, wobei der Benutzereingabe ein Salt (zufällige Daten) hinzugefügt wird, um die Verwendung von Regenbogentabellen zu verhindern .

Wenn ich in Ihren Schuhen stecke, würde ich dem Anbieter einige schwierige Fragen dazu stellen, wie genau er Passwörter speichert und wie genau sein Support-Mitarbeiter in der Lage ist, das Passwort abzurufen. Dies bedeutet möglicherweise nicht, dass sie die Passwörter im Klartext speichern, aber sie protokollieren sie möglicherweise irgendwo, wenn sie geändert werden - auch ein großes Risiko.

Shane Madden
quelle
1
Ich werde ihnen ein paar Fragen stellen und sie hier posten, wenn sie etwas Interessantes sagen. Meine größte Sorge ist, dass sie potenziell 1) jede unserer E-Mails lesen könnten 2) beim Lesen unserer E-Mails einen Verweis auf ein persönliches E-Mail-Konto sehen könnten 3) wenn ein Benutzer dasselbe Passwort für geschäftliche und persönliche E-Mails verwendet, könnte seine persönliche E-Mail auch kompromittiert werden.
Austin '' Danger '' Powers
@ Austin''Danger''Powers "könnte möglicherweise 1) eine unserer E-Mails lesen " Jeder Host kann dies - ohne Ausnahme - (vorausgesetzt, der E-Mail-Inhalt selbst wurde vom Absender nicht verschlüsselt - aber das ist eine andere Geschichte).
Orlp
Ich dachte, das ist normalerweise nur für Top-Level-Support möglich. Wenn jeder Support-Mitarbeiter Passwörter anzeigen kann, steigt das Risiko, dass ein unehrlicher / gelangweilter Mitarbeiter in unseren E-Mails stöbert.
Austin '' Danger '' Powers
5

Alle anderen Antworten sind großartig und haben sehr gute historische Punkte.

Wir leben jedoch in einer Zeit, in der das Speichern von Passwörtern im Klartext enorme finanzielle Probleme verursacht und Unternehmen möglicherweise völlig zerstört. Das Senden von Passwörtern im Klartext per unsicherer E-Mail klingt auch im Zeitalter der NSA lächerlich, wenn alle durchgehenden Daten eingesaugt werden.

Sie müssen nicht akzeptieren, dass für einige alte Protokolle Kennwörter im Klartext erforderlich sind. Wenn wir alle aufhören, solche Dienste anzunehmen, würden die Dienstleister wahrscheinlich etwas dagegen unternehmen und schließlich die alte Technologie ablehnen.

Manche Menschen können sich daran erinnern, dass man, wenn man einmal in ein Flugzeug steigen möchte, um in ein anderes Land zu fliegen, buchstäblich nur vom Straßenparkplatz in das Flugzeug steigt. Keine Sicherheit was auch immer. Heutzutage erkannten die Menschen, dass angemessene Sicherheitsmaßnahmen erforderlich sind und alle Flughäfen haben sie eingerichtet.

Ich würde zu einem anderen E-Mail-Anbieter wechseln. Die Suche nach "sicherem E-Mail-Anbieter" liefert viele Ergebnisse.

Es gab einige gute Punkte in den Kommentaren. Wahrscheinlich wäre die Suche nach "sicheren E-Mail-Anbietern" sehr sinnvoll, da alle E-Mail-Anbieter sich ihrer Sicherheit rühmen würden. Ich kann jedoch keine bestimmte Firma empfehlen und es ist wahrscheinlich auch keine gute Idee, dies zu tun. Wenn Sie ein bestimmtes Unternehmen identifizieren, ist es eine gute Sache, zuerst eine harte Frage zur Sicherheit zu stellen.

oleksii
quelle
1
Einer der Gründe, warum unser letzter Webmaster diesen Anbieter empfohlen hat, war, dass er "sicherer" sein sollte als unser vorheriger. Ich stellte bald fest, dass sie bestimmte Sonderzeichen in Passwörtern, die wir früher verwenden konnten, nicht zuließen , und später, dass ihre Mitarbeiter Zugriff auf unsere Passwörter hatten. Der einzige Grund, warum sie "sicherer" sind, besteht darin, dass sie uns dazu zwingen, bestimmte Mindestanforderungen an die Länge und Komplexität von Passwörtern zu erfüllen - eine große Sache.
Austin '' Danger '' Powers
Jeder nennt seinen Dienst "sicher", aber es stellt sich heraus, dass dies nicht immer das bedeutet, was Sie denken, dass es bedeutet. Das System sollte es unmöglich machen. Ich habe vor Jahren für einen ISP gearbeitet, und obwohl ich das E-Mail-Passwort eines Kunden zurücksetzen konnte, konnte ich nicht sehen, welches das aktuelle war. Diese Leute könnten unsere E-Mails theoretisch ohne unser Wissen lesen ... Ich sollte mich nicht auf Vertrauen verlassen müssen .
Austin '' Danger '' Powers
1
Erzwingen sie eine maximale Längenanforderung? Das ist fast immer ein Kanarienvogel für die Speicherung von Klartext-Passwörtern.
Mels
1
"Die Suche nach" sicherem E-Mail-Anbieter "liefert viele Ergebnisse." - Ja, und wie viele dieser Websites, auf denen Kennwörter im Klartext gespeichert sind, werden unter diesen Ergebnissen angezeigt, weil sie sich für sicher halten. Sie nicht wählen für einen Hosting - Service Sie wollen basierend auf ein paar Suchergebnisse sicher.
Rob Moir
1
@RobM: Genau. Was nützt es, den Anbieter zu fragen, ob er der Meinung ist, dass sein eigener Dienst sicher ist? 100% von ihnen werden "Ja" sagen. Das Durchführen einer Websuche nach einem solchen Oberbegriff ist reine Zeitverschwendung. Es scheint ein ziemlich naiver Weg zu sein, um das ganze Problem zu lösen: " Sind Ihre Systeme sicher? Okay, fantastisch. Vielen Dank, dass Sie das klargestellt haben. In diesem Fall werden wir Ihre Dienste ohne zu zögern abonnieren. "
Austin '' Danger '' Powers
3

Meine Empfehlung ist zu gehen und die nächsten Leute zu fragen, was ihre Richtlinien zuerst sind!
Wenn Sie sich gut fühlen, können Sie den alten Anbietern mitteilen, warum Sie abreisen.

Um auch die Aussage einer anderen Antwort anzusprechen, sind die Tage der Regenbogentabellen vergangen. Sie wurden von leistungsstarken GPUs abgelöst und beanspruchen zu viel Speicherplatz (Binär-Hashes komprimieren offensichtlich nicht gut; und Sie würden sie sowieso nicht in ASCII speichern). Es ist schneller, den Hash auf einer GPU (neu) zu berechnen, als ihn von der Festplatte zu lesen.

Abhängig vom verwendeten Hash-Algorithmus und der GPU kann erwartet werden, dass ein moderner Computer zum Knacken von Passwörtern etwa 100 Millionen bis eine Milliarde Hashes pro Sekunde durchläuft. Nach diesem , das bedeutet , jedes 6-Zeichen - Passwort in Sekunden geknackt werden kann (was ein wenig auf , was es denkt , dass ein Computer / Supercomputer tun kann , datiert ist). Tabellen für 7- und 8-Zeichen-Hashes in allen verschiedenen Algorithmen (MD5, SHA-1, SHA-256, SHA-512, Blowfish usw.) belegen übermäßig viel Speicherplatz (stellen Sie fest, dass Sie sie auf einer SSD speichern müssen) und Sie können sehen, warum wörterbuchbasierte Angriffe mit der GPU schneller zu Passwörtern führen.

Ein schöner Artikel für diejenigen, die in die Szene kommen, ist, wie ich ein Passwort-Cracker bei Ars Technica wurde.

Nicholas Shanks
quelle
Wenn Ihr zweiter Absatz wirklich zutrifft, würde dies bedeuten, dass das Salzen unbrauchbar wird. Ist dies Ihre persönliche Meinung oder basiert dies auf Fakten?
Tobias Kienzler
@TobiasKienzler Das Salzen mit einem in der Ausgabe gespeicherten Wert ist zwar ziemlich nutzlos, das Salzen mit einem privaten Wert ist jedoch weiterhin eine gute Abwehr gegen Wörterbuchangriffe. Dies ist nicht meine persönliche Meinung, es ist eine Beobachtung (von anderen gemacht) über das aktuelle Verhalten von Passwort-Crackern. Ich habe auch die Antwort ein wenig aktualisiert.
Nicholas Shanks
2
Mit privatem Wert meinen Sie Pfeffer ? Wie auch immer, die erforderlichen Eigenschaften einer guten Hash-Funktion sind a) sie sind sehr zeitaufwendig oder noch besser, b) sie können beliebig oft in einer Kette aufgetragen werden, um die erforderliche Zeit zu erhöhen. Ich bin damit einverstanden, dass ein veralteter Hash / Salt-Code geknackt werden kann, einer mit ausreichend erhöhter Komplexität jedoch nicht. Verwandte: Passwort-Hashing Salz + Pfeffer hinzufügen oder ist Salz genug?
Tobias Kienzler
@TobiasKienzler Ja, ich war mir nicht sicher, wie spezifisch ich mit dir umgehen könnte :) Natürlich sollten die Websites bcrypt()heutzutage verwendet werden, aber hier geht es mehr darum, die Hashes derjenigen zu knacken, die dies nicht tun.
Nicholas Shanks
1
In diesem Fall stimme ich zu, aber ein schlechter / veralteter / schwacher Hash (z. B. MD5) ist in einem sicherheitsrelevanten Kontext einfach nicht zu entschuldigen.
Tobias Kienzler
1

Das ist mir passiert!

Vor einigen Jahren wurde meine Identität gefährdet, als mein Hosting-Anbieter (der zu dieser Zeit auch mein E-Mail-Anbieter war) eine Sicherheitsverletzung erlitt. Ich konnte meine E-Mails nicht abrufen, da mein Passwort zurückgesetzt wurde. Mit Kontrolle über meine E-Mail haben sie versucht, mein Passwort bei Amazon und PayPal zurückzusetzen. Sie können sich vorstellen, was als nächstes kam, oder? Betrügerische Kreditkartengebühren!

Glücklicherweise konnte ich relativ schnell herausfinden, was passierte, meinen Hosting-Provider ans Telefon holen und meine Identität sorgfältig validieren, obwohl Kontoinformationen und Sicherheitsfragen geändert wurden (alles innerhalb weniger Stunden). Während dieses Gesprächs konnte mir der Kundendienstmitarbeiter mitteilen, wann und auf welche Weise mein Kennwort geändert wurde. Das war alles, was ich hören musste, um zu wissen, dass ich unbedingt den Anbieter wechseln musste.

Es gibt keinen Grund, warum es Ihnen, unserem Unternehmen, passieren sollte!

Ich ahnte die Gründlichkeit des Unternehmens in Bezug auf die Sicherheit, Dinge, die ich hier und da während meiner jahrelangen Arbeit mit ihnen bemerkt hatte. Aber ich habe mich immer davon überzeugt, dass es keine große Sache war oder dass ich mich geirrt habe. Ich habe mich nicht geirrt und du auch nicht!

Wenn ich gehandelt hätte, als ich zum ersten Mal vermutet hätte, dass sie die Sicherheit nicht ernst nehmen, wäre dieser ganze Mini-Albtraum niemals passiert. Sie möchten überlegen, was passieren könnte, wenn ein wertvolles Unternehmenskonto kompromittiert wird? Sie würden leicht davonkommen, wenn sie nur SPAM senden würden. Die Firma, für die ich zu der Zeit arbeitete, nutzte ebenfalls diesen Anbieter und wir legten großen Wert darauf, so schnell wie möglich von der Firma abzuweichen.

Vertraue deinen Instinkten! Übergeben Sie nicht das Geld, wenn Sie aus Faulheit migrieren oder weil Ihr bestehendes Setup "gut funktioniert". Das Schlimmste an schwachen Sicherheitsvorkehrungen wie dem Speichern von Passwörtern im Klartext, der unsachgemäßen Konfiguration von Servern usw. ist, dass sie mit einer allgemeinen Inkompetenz und / oder Faulheit in ihrer technischen Kultur zu tun haben. Diese Kultur möchte ich nicht, dass die Mission meines Unternehmens kritisch ist Servicevertrag überall in der Nähe.

Matt Surabian
quelle
0

Ich sehe eine alternative Erklärung, wo Ihr Passwort tatsächlich auf den Servern Ihres Providers gehasht wird.

Als der Anbieter Sie einen Tag später kontaktierte, hat er es wahrscheinlich (und dies ist eine Vermutung) aus den Serverprotokollen gezogen, da sein Skript zur Passwortänderung Daten über die GET-Methode übermittelt.

Es klingt einfacher als wenn Ihr Provider eine Datenbank mit Aufzeichnungen darüber hat, wann, wer und wie sein Passwort geändert wurde. Du kennst Occams Rasiermesser ...;)

Peta Sittek
quelle