メールホスティングプロバイダーがパスワードを見ることができることに気付いたらどうしますか？

昨年、ホスティングプロバイダーからアカウントの1つに関するメールが届きました。これは侵害されており、スパムのかなり寛大な支援を提供するために使用されていました。

どうやら、ユーザーはパスワードを自分の名前のバリエーションにリセットしたようです（姓はおそらく最初に推測できるものです）。彼女は1週間以内にすぐにハッキングされました。ブロックされました。

これまでのところ、特に異常なものはありません。発生します。パスワードをより安全なものに変更し、ユーザーを教育して先に進みます。

しかし、私たちのアカウントの1つが危険にさらされたという事実よりも、何かが心配でした。

ホスティングプロバイダーは、役立つように努力し、次のメールで実際にパスワードを引用しました。

びっくりしました。間もなく契約を更新する予定です。これは契約を破るような気がします。

ホスティングプロバイダーがアカウントで使用されている実際のパスワードを見つけることができるのはどれくらい一般的ですか？

ほとんどのホスティングプロバイダーには、最前線の担当者よりも多くのアクセス権を持つアカウント不正使用部門があります（必要に応じてパスワードを検索できます）か、またはスタッフがユーザーにアクセスできるようにするベストプラクティスに従っていないだけですか？パスワード？パスワードはハッシュ化され、取得できないはずだと思いましたか？これは、全員のパスワードをプレーンテキストで保存するということですか？

それもあり、法的ホスティングプロバイダは、この方法でアカウントのパスワードを発見できるようにするために？それは私にはとても信じられないようです。

プロバイダーの変更を検討する前に、これが一般的な慣行ではなく、次のホスティングプロバイダーでも同じような設定が行われない可能性があるという安心感をお願いします。

これに関するあなたの意見を聞くことを楽しみにしています。

はい。ISPやメールサービスプロバイダーは、パスワードをプレーンテキスト、またはプレーンテキストに簡単に復元できる形式で保存するのが一般的です。

この理由は、PPP（ダイヤルアップおよびDSL）、RADIUS（ダイヤルアップ、802.1xなど）およびPOP（電子メール）などで使用される認証プロトコルに関係しています。

ここでのトレードオフは、パスワードがISPのデータベースで一方向ハッシュされている場合、使用できる認証プロトコルは、プレーンテキストでネットワーク経由でパスワードを送信するものだけであるということです。ただし、ISPが実際のパスワードを保存している場合は、より安全な認証プロトコルを使用できます。

たとえば、PPPまたはRADIUS認証はCHAPを使用する場合があります。CHAPは、送信中の認証データを保護しますが、ISPがプレーンテキストパスワードを保存する必要があります。同様に、POP3のAPOP拡張を使用します。

また、ISPが提供するさまざまなサービスはすべて異なるプロトコルを使用しており、同じデータベースに対してすべてを認証する唯一のクリーンな方法は、パスワードをプレーンテキストで保持することです。

ただし、ISPのスタッフの誰がデータベースにアクセスできるのか、どの程度セキュリティで保護されているのかという問題には対応していません。あなたはまだそれらについて厳しい質問をする必要があります。

ただし、おそらくこれまでに学んだように、ISPのデータベースが侵害されることはほとんどありませんが、個々のユーザーが侵害されることは非常に一般的です。いずれにしてもリスクがあります。

また、パスワードは決して回復可能であるべきではないと信じるのは間違っていますか（一方向ハッシュ）？姉妹サイトのITセキュリティ

残念ながら、これは予算のホストではかなり一般的であり、より大きなホストでも前代未聞ではありません。cpanelなどでは、さまざまなサービスにログインするためにプレーンテキストパスワードが必要になることがよくあります。

できることは、パスワードがハッシュされているかどうかを事前に確認することだけです。

パスワードをプレーンテキストで保存するか、何らかの可逆暗号化を使用する可能性があります。

あなたが推測したように、これは非常に悪いです。

従業員の悪意や過失、または外部の第三者によるシステムの侵害のいずれかにより、悪用されているプレーンテキストパスワードは、システムだけでなく、同じパスワードを使用している他のシステムにも重大なリスクをもたらします。

パスワードの責任ある保存とは、レインボーテーブルの使用を防ぐために、ユーザーの入力にソルト（ランダムデータ）を追加して、可逆暗号化の代わりに一方向ハッシュ関数を使用することを意味します。

私があなたの立場にいたら、プロバイダにパスワードを正確に保存する方法と、サポート担当者がパスワードを取得する方法について厳密な質問をします。これは、パスワードをプレーンテキストで保存することを意味するわけではありませんが、変更時にパスワードをどこかに記録している可能性があります-これも大きなリスクです。

他のすべての答えは素晴らしく、非常に良い歴史的ポイントがあります。

しかし、私たちは、パスワードをプレーンテキストで保存すると、大きな経済的問題を引き起こし、ビジネスを完全に破壊する時代に生きています。安全でない電子メールを介してプレーンテキストでパスワードを送信することは、NSAがすべての通過データを吸い込む時代にばかげているように聞こえます。

一部の古いプロトコルではプレーンテキストのパスワードが必要であるという事実を受け入れる必要はありません。私たち全員がそのようなサービスの受け入れをやめた場合、おそらくサービスプロバイダーはそれについて何かをし、最終的に古代のテクノロジーを非推奨にするでしょう。

一部の人々は、一度飛行機に乗って別の国に飛行機で行きたいときは、文字通り通りの駐車場から飛行機に足を踏み入れることを思い出すことができます。これまでのところセキュリティはありません。今日、人々は適切なセキュリティ対策が必要であり、すべての空港がそれらを設置していることに気付きました。

別のメールプロバイダーに切り替えます。「安全なメールプロバイダー」で検索すると、多くの結果が得られます。

コメントにはいくつかの良い点がありました。すべての電子メールプロバイダーが安全であると自慢するため、「安全な電子メールプロバイダー」を検索することは理にかなっています。ただし、特定の会社を推薦することはできず、おそらくどちらかを行うことは得策ではありません。セキュリティについて最初に難しい質問をする特定の会社を特定するのは良いことです。

私の推薦は、去って、彼らの方針が最初であるものを次の人に尋ねることです！
気分がいい場合は、古いプロバイダーに退社の理由を伝えることができます。

また、別の答えの声明に対処するために、レインボーテーブルの時代は過ぎました。それらは高性能のGPUに取って代わられており、ストレージスペースを取りすぎています（バイナリハッシュは明らかに圧縮率が低いため、とにかくASCIIで保存することはできません）。GPUでハッシュをディスクから読み取るよりも（再）計算する方が高速です。

使用されるハッシュアルゴリズムとGPUに応じて、現代のパスワードクラッキングコンピューターは、1秒間に約1億から10億のハッシュを処理することが予想されます。よると、この（それはコンピュータ/スーパーコンピュータが行うことができると考えて何日付けビットがある）、その手段は、任意の6文字のパスワードが数秒でひび割れすることができます。すべてのさまざまなアルゴリズム（MD5、SHA-1、SHA-256、SHA-512、Blowfishな​​ど）の7文字と8文字のハッシュのテーブルは、膨大な量のディスクスペースを消費します（SSDに保存する必要があることを認識してください） 、磁気のプラッタではなく、アクセス速度のため）、GPUを使用した辞書ベースの攻撃がパスワードをより迅速に生成する理由を確認できます。

現場に入ってきた人たちのための素晴らしい記事は、Ars Technicaでパスワードクラッカーになった方法です。

これは私に起こった！

数年前、ホスティングプロバイダー（当時はメールプロバイダーだった）がセキュリティ侵害を受けたときに私の身元が侵害されました。パスワードがリセットされたため、メールをチェックできないことに気づきました。私のメールを制御して、彼らはAmazonとPayPalで私のパスワードをリセットしようとしました。次に何が来たのか推測できますよね？不正なクレジットカードの請求！

幸いなことに、私は比較的迅速に何が起こっているのかを把握し、ホスティングプロバイダーを電話にかけ、アカウント情報やセキュリティの質問が変更されているにもかかわらず、すべてを数時間で確認することができました。 この会話中に、カスタマーサービス担当者は、パスワードの履歴、変更された日時、および変更内容を教えてくれました。 プロバイダーを絶対に変更する必要があることを知るために必要なのはそれだけです。

あなたの会社、あなたに起こるべき理由はありません！

セキュリティに関しては、この会社の徹底性について何年もの間、あちこちで気づいていたことについて、私は疑いを持っていました。しかし、私はそれが大したことではないか、間違っているかもしれないと自分自身を常に確信していました。 私は間違っていませんでしたし、あなたもそうではありません！

私が最初に疑ったときに行動していたら、彼らはセキュリティ全体を真剣に考えていなかったので、ミニ悪夢全体は決して起こらなかったでしょう。貴重な企業アカウントが侵害された場合に何が起こるかを考えるには？彼らがスパムを送っただけなら、あなたは簡単に降りるでしょう。当時働いていた会社もこのプロバイダーを使用していたため、できるだけ早く移行することを優先しました。

あなたの本能を信頼！ 怠inessからの移行や、既存のセットアップが「正常に動作する」ためにお金を払わないでください。パスワードをクリアテキストで保存したり、サーバーを不適切に構成したりするなど、セキュリティの見落としが最もひどいのは、技術的な文化の一般的な無能さや怠toさを語るということです。近くのどこでもサービス契約。

私の代わりの説明を見ることができます。あなたのパスワードは実際にあなたのプロバイダーのサーバーでハッシュされています。

プロバイダがたった1日後にあなたに連絡したとき、彼のパスワード変更スクリプトがGETメソッドを介してデータを送信しているので、おそらく（これは推測です）サーバーログからそれを引き出しました。

パスワードをいつ、誰が、どのように変更したかを記録したデータベースを持つプロバイダよりも簡単に聞こえます。あなたはオッカムのカミソリを知っています...;）