去年,我们收到托管服务提供商发来的一封电子邮件,内容涉及我们的一个帐户 — — 该帐户已被入侵并被用来发送大量垃圾邮件。
显然,该用户已将她的密码重置为她名字的变体(姓氏可能是您第一次就猜到的)。她在一周内就被黑客入侵 - 她的帐户发出了 270,000 封垃圾邮件 - 并很快被封锁。
到目前为止,没有什么特别不寻常的事情。这种情况发生了。您将密码更改为更安全的密码,教育用户并继续前进。
然而,有些事情让我担心更而不是我们的一个账户被盗的事实。
我们的托管服务提供商为了提供帮助,实际上引用密码请发送以下电子邮件给我们:
我感到很惊讶。我们很快就要续约了——这感觉像是一笔不小的买卖。
托管服务提供商能够找出帐户的实际密码的情况有多普遍?
大多数托管服务提供商是否都有一个账户滥用部门,该部门拥有比一线代表更多的访问权限(并且可以在必要时查找密码),或者这些人只是没有遵循最佳实践,使任何他们的工作人员有权访问用户密码?我以为密码应该是散列的,不可检索的?这是否意味着他们以纯文本形式存储每个人的密码?
它甚至合法的托管服务提供商居然能以这种方式发现账户密码?这对我来说简直太不可思议了。
在我们考虑更换提供商之前,我希望得到一些保证,这不是常见的做法,并且我们的下一个托管服务提供商也可能不会以相同的方式设置。
期待听到您对此的看法。
答案1
是的,ISP 和电子邮件服务提供商通常以纯文本或易于恢复为纯文本的格式存储您的密码。
原因在于身份验证协议与 PPP(拨号和 DSL)、RADIUS(拨号、802.1x 等)和 POP(电子邮件)等一起使用。
这里的权衡是,如果密码在 ISP 的数据库中是单向散列的,那么唯一可以使用的身份验证协议就是以纯文本形式通过网络传输密码的协议。但如果 ISP 存储了实际密码,那么可以使用更安全的身份验证协议。
例如,PPP 或 RADIUS 身份验证可能使用 CHAP,它可以保护传输中的身份验证数据,但需要 ISP 存储纯文本密码。POP3 的 APOP 扩展也类似。
此外,ISP 提供的各种服务都使用不同的协议,而让它们全部通过同一个数据库的身份验证的唯一干净方法是将密码保存为纯文本。
这并没有解决ISP 员工中哪些人有权访问数据库, 和安全性如何不过。你还是应该问一些尖锐的问题。
不过,正如您现在可能已经了解到的那样,ISP 的数据库被入侵的情况几乎闻所未闻,而个人用户被入侵的情况却屡见不鲜。无论哪种方式,您都有风险。
也可以看看我是否错误地认为密码永远无法恢复(单向哈希)?在我们的姊妹网站上信息技术安全
答案2
不幸的是,这种情况在廉价主机中相当常见,甚至在大型主机中也并非闻所未闻。cpanel 等服务经常需要您的纯文本密码才能以您的身份登录各种服务,等等。
您唯一能做的就是提前询问密码是否经过散列处理。
答案3
答案4
我的建议是离开,先问问接下来的人他们的政策是什么!
如果你感觉不错,你可以告诉老供应商你离开的原因。
另外,为了回应另一个答案的说法,彩虹表的时代已经过去了。它们已被高性能 GPU 取代,占用了太多的存储空间(二进制哈希显然压缩效果不佳;而且无论如何你都不会将它们存储在 ASCII 中)。在 GPU 上(重新)计算哈希比从磁盘读取哈希更快。
根据所使用的哈希算法和 GPU,现代密码破解计算机预计每秒可以破解大约 1 亿到 10 亿个哈希值。根据这,(这与它认为计算机/超级计算机可以做的事情有点过时了),这意味着任何 6 个字符的密码都可以在几秒钟内被破解。各种算法(MD5、SHA-1、SHA-256、SHA-512、Blowfish 等)中 7 个和 8 个字符哈希表将占用大量磁盘空间(请注意,为了提高访问速度,您需要将它们存储在 SSD 上,而不是磁盘上),您可以看到为什么使用 GPU 的基于字典的攻击会更快地产生密码。
对于那些刚进入这个领域的人来说,有一篇很好的文章是我是如何成为密码破解者的在 Ars Technica。