Webhosting-Unternehmen in der Lage, Passwörter freizugeben?

7

Heute Abend habe ich das cPanel einer von mir gehosteten Website verwendet und als ich das Passwort änderte, erhielt ich eine Warnung, dass ich das Passwort nicht in mein gewünschtes Passwort ändern konnte, da es meinem vorherigen Passwort zu ähnlich war.

Diese haben sofort meine Augenbrauen hochgezogen, weil es bedeutet, dass ich die Zeichenfolge meines neuen Passworts mit dem vorherigen Passwort vergleichen kann. Sie werden entweder im Klartext gespeichert (sicherlich nicht für ein Webhosting-Unternehmen) oder mit einem Algorithmus gespeichert, der entschlüsselt werden kann ( was ist nicht wirklich viel besser)?

Oder ist dies ein Problem mit cPanel als Ganzes? Anfang dieser Woche habe ich mich für einen Plan bei einer .com-Firma angemeldet, die cPanel verwendet, und als ich auf dem nächsten Bildschirm mein Passwort eingab, wurde mir mitgeteilt, dass Ihr Passwort erfolgreich in "xxxxx" geändert wurde. Ich weiß nicht, ob dies der Fall ist Daten wurden jemals gespeichert, aber ich habe aufgrund dieser Bedenken nichts auf diese Website gestellt.

Ist es möglich, dass sie eine Verschlüsselungstechnologie wie PGP verwenden, um das Passwort zu entschlüsseln?

Ich habe beide Unternehmen per E-Mail um Klärung dieses Problems gebeten, aber ich befürchte, dass ich nur "Unternehmenssprache" von ihnen zurückbekomme.

Ich bin mir nicht sicher, ob diese Frage genau in die Q & A-Struktur von SO passt. Die Passwortsicherheit ist jedoch eines der wichtigsten Dinge im Internet. IMO. Wenn das Unternehmen, das Ihre Websites hostet, über eine schlechte Sicherheit verfügt, ist dies ein ernstes Problem.

Herr Mojo Risin
quelle
2
Nur um zu bestätigen, dass beim Versuch, Ihr Passwort in cPanel zu ändern, nicht nach Ihrem alten Passwort gefragt wurde?
Ilmari Karonen

Antworten:

5

Ihre Annahmen sind im Allgemeinen wahr. Aber ohne selbst in den cPanel-Code zu schauen, weiß ich nicht, wie die aktuelle Situation ist. Es gibt jedoch so etwas wie ortsabhängiges Hashing .

Im Gegensatz zu einem normalen Hashing-Algorithmus, bei dem selbst minimale Änderungen zu großen Unterschieden führen sollen, werden beim lokalitätssensitiven Hashing Hashes erzeugt, die die Ähnlichkeit / Entfernung zwischen den ursprünglichen, nicht verwaschenen Texten widerspiegeln. Aber ich glaube nicht, dass diese eigentlich als kryptografische Hashes verwendet werden sollen. Sie werden häufiger für Ähnlichkeitssuchen verwendet (z. B. für die Bildsuche).

Lèse Majestät
quelle
1

Zunächst wird PGP zum Verschlüsseln mit privaten und öffentlichen Schlüsseln verwendet. Es hat nichts mit Ihrem Passwort oder dem Algorithmus zu tun, mit dem es auf einem Hosting-Server verschlüsselt wird. Es ist sehr wahrscheinlich, dass ein MD5-Hash zum Speichern des Kennworts verwendet wird. Eine Klartextversion kann nur aus dem Grund gespeichert werden, damit Sie in Zukunft nicht mehr dieselben oder ähnliche Kennwörter verwenden. Mein Hosting-Unternehmen lässt Sie mindestens 8 Zeichen in Groß- und Kleinbuchstaben sowie eine Zahl verwenden.

Ich bin zwar nicht damit einverstanden, dass Unternehmen Teile eines Passworts verwenden, um zu überprüfen, ob Sie der Eigentümer der Website sind, wenn Sie mit dem Support sprechen. Eine bessere Vorgehensweise IMO ist es, die Passwörter zu hashen, keine Klartextversion zu speichern. Wenn Sie Ihren Pass vergessen, verwenden Sie Token, mit denen Sie Ihr Passwort ändern können. Das Abgleichen von MD5-Hashes von früheren mit neuen Kennwörtern ist einfach genug, um zu verhindern, dass Sie dasselbe Kennwort verwenden.

Vor dem Hashing eines Passworts können Unternehmen einfach überprüfen, ob Sie die Mindestanforderungen an Zeichenlänge und -typ erfüllt haben.

Wenn Unternehmen cPanel verwenden, werden Sie wahrscheinlich keine Abweichungen im Kennwortalgorithmus feststellen. Sie können sich also GoDaddy und andere ansehen, die über eigene Bedienfelder verfügen.

Anagio
quelle
1

Vielleicht speichern sie Hashes von Teilen Ihrer Passwörter. Das könnte es ihnen ermöglichen, Ähnlichkeiten zu erkennen, ohne Ihr Passwort oder einen Teil davon als Klartext zu speichern, aber ich denke, es beeinträchtigt auch die Sicherheit, das Passwort zu hashen, zumindest etwas.

Kenny Evitt
quelle
0

Es scheint sicher, dass eine Klartextversion Ihres Passworts abrufbar ist, was eine schlechte Praxis ist.

Hoffentlich ist Ihr Passwort zumindest verschlüsselt, aber man sollte sich nicht darauf verlassen.

Es ist gut, dass Sie Ihren Webhost darauf hinweisen!

Alasjo
quelle
3
Wenn das System frühere Hashes gespeichert hätte, könnte es keine Ähnlichkeit feststellen, nur wenn sie identisch wären. Ähnliche Zeichenfolgen geben sehr unterschiedliche Hashes zurück, was ein wichtiger Faktor bei jedem Hashing-Algorithmus ist.
MrWhite
Oh, ich habe vermisst, dass es um die Ähnlichkeit von Passwörtern ging. Wird die Antwort bearbeiten.
Alasjo