이메일 호스팅 제공 업체가 비밀번호를 볼 수 있다는 것을 알고 있다면 어떻게 하시겠습니까?

우리는 작년에 호스팅 제공 업체로부터 계정 중 하나에 대한 이메일을 받았습니다.이 계정은 손상되어 스팸에 대한 관대 한 도움을 제공하는 데 사용되었습니다.

분명히 사용자는 자신의 이름을 변형하여 비밀번호를 재설정했습니다 (이름은 처음 추측 할 수있는 것임). 일주일 이내에 즉시 해킹당했습니다. 그녀의 계정은 27 만 개의 스팸 이메일을 발송했습니다. 막힌.

지금까지 특별히 특이한 것은 없습니다. 그런 일이 있습니다. 암호를보다 안전한 것으로 변경하고 사용자를 교육하고 계속하십시오.

그러나 우리 계정 중 하나가 손상되었다는 사실보다 더 중요한 점이 있습니다.

호스팅 제공 업체는 도움을 드리기 위해 실제로 다음 이메일로 비밀번호 를 인용했습니다 .

나는 놀랐다. 우리는 곧 계약을 갱신해야하는데, 이것은 계약을 파기 한 것처럼 느껴집니다.

호스팅 제공 업체가 계정에 사용 된 실제 비밀번호를 찾는 것이 얼마나 흔합니까?

수행 대부분의 호스팅 제공 업체는 (암호 필요하고 찾아 볼 수 있습니다) 일선 담당자보다 더 많은 액세스 권한이있는 계정 남용 부서가, 아니면 그냥 것이 가능 만드는 모범 사례를 따르지 않는 녀석이다 어떤 액세스 사용자에게 그들의 직원의 비밀번호? 암호가 해시되어 검색 할 수 없다고 생각 했습니까? 이것은 모든 사람의 암호를 일반 텍스트로 저장한다는 의미입니까?

심지어입니까 법적 호스팅 공급자가이 방식으로 계정 암호를 발견 할 수 있으려면? 나에게는 정말 대단해 보인다.

우리는 공급자 변경을 검토하기 전에 이것이 일반적인 관행이 아니며 다음 호스팅 공급자가 같은 방식으로 설정하지 않았 음을 확신하고 싶습니다.

이에 대한 의견을 기다리겠습니다.

예, ISP와 이메일 서비스 제공 업체는 비밀번호를 일반 텍스트 또는 일반 텍스트로 쉽게 복구 할 수있는 형식으로 저장하는 것이 일반적입니다.

그 이유는 함께 할 수있다 인증 프로토콜 다른 사람의 사이에서 PPP (전화 접속 및 DSL), RADIUS (전화 접속, 802.1X 등), POP (이메일)와 함께 사용.

여기서 비밀번호는 ISP의 데이터베이스에서 비밀번호가 단방향으로 해시되는 경우 사용할 수있는 유일한 인증 프로토콜은 비밀번호를 일반 텍스트로 유선으로 전송하는 것입니다. 그러나 ISP가 실제 암호를 저장하면보다 안전한 인증 프로토콜을 사용할 수 있습니다.

예를 들어 PPP 또는 RADIUS 인증은 CHAP를 사용하여 전송중인 인증 데이터를 보호하지만 ISP가 일반 텍스트 암호를 저장해야합니다. POP3에 대한 APOP 확장과 유사합니다.

또한 ISP가 제공하는 다양한 서비스는 모두 서로 다른 프로토콜을 사용하며, 동일한 데이터베이스에 모두 인증하는 유일한 방법은 암호를 일반 텍스트로 유지하는 것입니다.

그러나 ISP 직원 중 누가 데이터베이스에 액세스 할 수 있는지에 대한 문제 와 데이터베이스 보안 수준은 다루지 않습니다 . 당신은 여전히 ​​그들에 대해 어려운 질문을해야합니다.

그러나 지금까지 배운 것처럼 ISP의 데이터베이스가 손상되는 것은 거의 알려져 있지 않지만 개별 사용자가 손상 되기에는 너무 일반적입니다. 어느 쪽이든 위험이 있습니다.

참조 암호 복구 (편도 해시) 결코해야한다고 생각하는 건가요 I의 잘못? 자매 사이트 IT 보안

불행히도 이것은 예산 호스트에게는 상당히 흔하며 더 큰 호스트에서도 들리지 않습니다. cpanel과 같은 것은 종종 다양한 서비스에 로그인 할 수 있도록 일반 텍스트 비밀번호가 필요합니다.

당신이 할 수있는 유일한 방법은 암호가 해시인지 미리 물어 보는 것입니다.

암호를 일반 텍스트로 저장하거나 일종의 가역적 암호화를 사용하고있을 가능성이 있습니다.

당신이 추측했듯이, 이것은 매우 나쁩니다.

직원의 악의 또는 과실 또는 외부 당사자의 시스템 손상으로 인해 오용되는 일반 텍스트 비밀번호는 시스템뿐만 아니라 사람들이 동일한 비밀번호를 사용한 다른 시스템에 심각한 위험을 초래합니다.

책임있는 암호 저장은 레인보우 테이블 사용을 방지하기 위해 사용자 입력에 솔트 (임의 데이터)를 추가하여 가역 암호화 대신 단방향 해싱 기능을 사용하는 것을 의미합니다 .

내가 당신의 신발을 신고 있다면, 제공자가 비밀번호를 정확히 어떻게 저장하는지, 지원 담당자가 비밀번호를 어떻게 검색 할 수 있었는지에 대해 어려운 질문을합니다. 이것은 암호를 일반 텍스트로 저장한다는 의미는 아니지만 변경시 어딘가에 로그를 기록하고있을 수도 있습니다.

다른 모든 대답은 훌륭하고 역사적으로 매우 좋습니다.

그러나 암호를 일반 텍스트로 저장하면 막대한 재정 문제가 발생하여 비즈니스를 완전히 파괴 할 수있는 시대에 살고 있습니다. 안전하지 않은 전자 메일을 통해 일반 텍스트로 암호를 보내면 통과하는 모든 데이터를 빨아들이는 NSA 시대에 말도 안됩니다.

일부 오래된 프로토콜에는 일반 텍스트의 비밀번호가 필요하다는 사실을 받아 들일 필요가 없습니다. 우리 모두가 그러한 서비스를받는 것을 중단한다면, 아마도 서비스 제공자는 그것에 대해 무언가를하고 고대 기술을 폐기 할 것입니다.

어떤 사람들은 비행기를 타고 다른 나라로 비행기를 타고 가고 싶을 때 문자 그대로 길거리 주차에서 비행기로 들어가는 것을 기억할 수 있습니다. 보안이 전혀 없습니다. 요즘 사람들은 적절한 보안 조치가 필요하다는 것을 깨달았고 모든 공항이 그 조치를 취했습니다.

다른 이메일 제공 업체로 전환하려고합니다. "보안 이메일 제공 업체"를 검색하면 많은 결과가 나타납니다.

의견에 몇 가지 좋은 지적이있었습니다. "보안 이메일 제공 업체"를 검색하는 것은 모든 이메일 제공 업체가 보안을 자랑하기 때문에 의미가 있습니다. 그러나 나는 특정 회사를 추천 할 수 없으며 아마도 그렇게하는 것이 좋지 않을 것입니다. 보안에 대해 어려운 질문을하는 특정 회사를 식별하는 것이 좋습니다.

내 추천은 떠나고 다음 사람들에게 그들의 정책이 무엇인지 물어 보는 것입니다!
기분이 좋으면 이전 공급자에게 왜 떠나고 있는지 알 수 있습니다.

또한 다른 답변의 진술을 해결하기 위해 무지개 테이블의 시대가 지났습니다. 그것들은 고성능 GPU로 대체되었으며 너무 많은 저장 공간을 차지합니다 (이진 해시는 분명히 잘 압축되지 않으며 ASCII로 저장하지 않을 것입니다). GPU에서 해시를 디스크에서 읽는 것보다 (재) 계산하는 것이 더 빠릅니다.

사용 된 해시 알고리즘과 GPU에 따라 최신 암호 크래킹 컴퓨터는 초당 약 1 억에서 10 억 해시까지 이탈 할 수 있습니다. 에 따르면 이 (가 컴퓨터 / 슈퍼 컴퓨터가 할 수있는 생각하는지에 일자 비트이다), 그 수단은 임의의 6 문자 암호는 초 만에 금이 될 수있다. 모든 다양한 알고리즘 (MD5, SHA-1, SHA-256, SHA-512, Blowfish 등)의 7 및 8 문자 해시 표는 많은 양의 디스크 공간을 소비합니다 (SSD에 저장해야 함을 인식 함) (자기 플래터가 아닌 액세스 속도) GPU를 사용하는 사전 기반 공격이 암호를 더 빨리 생성하는 이유를 알 수 있습니다.

현장에 들어오는 사람들에게 좋은 기사 는 Ars Technica에서 암호 크래커 가 된 방법 입니다.

이것은 나에게 일어났다!

몇 년 전 내 호스팅 제공 업체 (당시 이메일 제공 업체 였음)가 보안 침해를 당했을 때 내 정체성이 손상되었습니다. 비밀번호가 재설정되어 이메일을 확인할 수 없게되었습니다. 이메일을 제어하면서 Amazon과 PayPal에서 비밀번호를 재설정하려고했습니다. 다음에 무엇이 올지 추측 할 수 있습니다. 사기성 신용 카드 청구!

다행히도 비교적 빠른 속도로 발생하는 상황을 파악하고 호스팅 제공 업체에 전화를 걸어 계정 정보와 보안 질문이 변경 되더라도 (몇 시간 안에) 내 신원을 확인하는 데 어려움을 겪지 않았습니다. 이 대화 중에 고객 서비스 담당자가 암호 기록, 변경시기 및 변경 내용을 알려줄 수있었습니다. 그게 내가 제공자를 바꾸는 것이 절대적으로 필요하다는 것을 알기 위해 필요한 전부였습니다.

우리 회사가 당신에게 일어날 이유가 없습니다!

보안과 관련하여이 회사의 철저함에 대해 의문이 생겼습니다. 그러나 나는 항상 그것이 큰 문제가 아니거나 내가 잘못 알고 있다고 확신했다. 나는 착각하지 않았고 당신도 마찬가지입니다!

내가 처음 의심했을 때 내가 행동했다면 그들은 모든 미니 악몽이 결코 일어나지 않았을 것이라는 보안을 심각하게 고려하지 않았다. 귀중한 회사 계정이 손상된 경우 어떤 일이 발생할 수 있다고 생각하십니까? SPAM 만 보냈다면 쉽게 내릴 수 있습니다. 당시 근무했던 회사도이 공급자를 사용하고 있었으며 최대한 빨리 전환하는 것을 최우선 과제로 삼았습니다.

너의 본능을 믿어 ​​봐! 게으름에서 벗어나거나 기존 설정이 "잘 작동"하기 때문에 벅을 통과하지 마십시오. 암호를 일반 텍스트로 저장하거나 서버를 잘못 구성하는 등 보안이 취약한 보안 감시에서 가장 해로운 부분은 기술 문화의 일반적인 무능력 및 / 또는 게으름에 대해 말하는 것이므로 회사의 미션 크리티컬을 원치 않는 문화입니다 가까운 곳에서 서비스 계약.

귀하의 공급자 서버에서 귀하의 비밀번호가 실제로 해시되는 대체 설명을 볼 수 있습니다.

공급자가 하루 만에 연락했을 때 암호 변경 스크립트가 GET 방법을 통해 데이터를 제출할 때 서버 로그에서 가져 왔을 것입니다.

언제, 누가, 어떻게 암호를 변경했는지에 대한 기록으로 가득한 데이터베이스를 가지고있는 공급자보다 간단하게 들립니다. 당신은 Occam의 면도기를 알고 있습니다 ...;)