it-swarm-vi.com

Phải làm gì với các trang web lưu trữ mật khẩu văn bản đơn giản

Gần đây tôi đã nhận được một email từ một trang web công việc tốt nghiệp phổ biến (perspectiveects.ac.uk) mà tôi đã không sử dụng trong một thời gian đề nghị tôi sử dụng một tính năng mới. Nó chứa cả tên người dùng và mật khẩu của tôi trong văn bản thuần túy. Tôi đoán điều này có nghĩa là họ đã lưu trữ mật khẩu của tôi ở dạng văn bản thuần túy.

Có bất cứ điều gì tôi có thể làm để cải thiện bảo mật của họ hoặc xóa hoàn toàn các chi tiết của tôi khỏi hệ thống của họ không?

CẬP NHẬT : Cảm ơn mọi người vì lời khuyên. Tôi đã gửi email cho họ, đánh vần những gì sai và tại sao, nói rằng tôi sẽ viết thư cho ủy viên DP và sẽ thêm chúng vào plaintextoffender.com.

Tôi nhận được phản hồi một giờ sau: một tin nhắn tự động chứa tên người dùng và mật khẩu cho hệ thống hỗ trợ của họ. Trời ơi ...

84
jamesj

Bạn thực sự không thể làm được gì nhiều, ngoài việc liên hệ với trang web và thử và giải thích cho họ biết ý tưởng tồi tệ như thế nào và thực hành việc lưu trữ mật khẩu (và email) trong văn bản thuần túy.

Một điều bạn có thể làm là báo cáo bất kỳ trang web vi phạm nào tới plaintextoffenders.com - một trang web (hiện là blog tumblr, nhưng chúng tôi sẽ sớm làm việc trên một trang web phù hợp) liệt kê các "người vi phạm văn bản thuần túy" khác - các trang web gửi email cho bạn mật khẩu của riêng bạn, do đó tiết lộ thực tế họ lưu trữ nó dưới dạng văn bản đơn giản hoặc sử dụng mã hóa đảo ngược, điều này cũng tệ như vậy.

Với tất cả mọi thứ đã xảy ra với Sony , hết lần này đến lần khác, mọi người trở nên nhận thức rõ hơn về sự nguy hiểm của các trang web lưu trữ các chi tiết nhạy cảm không được mã hóa, nhưng nhiều người vẫn không biết. Có hơn 300 trang web được báo cáo, với nhiều báo cáo đến mỗi ngày!

Hy vọng, plaintextoffenders.com sẽ giúp bằng cách hiển thị ngày càng nhiều trang web. Một khi điều này nhận được đủ sự chú ý trên Twitter hoặc các phương tiện truyền thông xã hội khác, đôi khi các trang web thay đổi cách thức của họ và khắc phục vấn đề! Ví dụ: Tạp chí SmashingPingdom gần đây đã thay đổi cách họ xử lý mật khẩu và không còn lưu trữ cũng như gửi email mật khẩu bằng văn bản đơn giản!

Vấn đề là nhận thức và tôi hy vọng rằng chúng tôi sẽ giúp nguyên nhân với các nguyên đơn.

50
Igal Tabachnik

Lưu trữ mật khẩu trong bản rõ không thực sự là một vấn đề - ít nhất, ít hơn nhiều so với việc gửi mật khẩu đã nói trong một bản rõ email!

Email này chỉ chứng minh rằng các quản trị viên trang web không cẩn thận với thông tin mà bạn ủy thác cho họ và đó là lý do chính đáng để không giao cho họ thêm bất kỳ dữ liệu nào.

14
Thomas Pornin

Sử dụng một mật khẩu khác nhau cho mỗi trang web. Theo cách đó, khi mật khẩu bị xâm phạm (cho dù bằng cách rình mò truyền qua email bản rõ hoặc ngay cả khi cơ sở dữ liệu đúng mật khẩu băm/muối bị bẻ khóa), kẻ tấn công sẽ chỉ có thể truy cập vào tài khoản của bạn trên một trang web đó, thay vì trên tất cả các trang web mà bạn có thông tin tài khoản tương tự.

... và vì vậy bạn không cần phải nhớ một tỷ mật khẩu: Stanford's PwdHash là tiện ích mở rộng trình duyệt tiện dụng tự động tạo mật khẩu duy nhất bằng cách băm mật khẩu phổ biến bạn nhập với tên miền của trang web.

9
smokris

Gửi cho họ một email yêu cầu xóa khỏi cơ sở dữ liệu của họ.

Đừng cung cấp thêm thông tin về bạn cho họ

Hãy chắc chắn để không có mật khẩu được sử dụng bất cứ nơi nào.

3
woliveirajr

Đó là lý do tại sao nên sử dụng một mật khẩu khác trên mỗi trang web.

Cố gắng gửi e-mail cho họ để xóa tài khoản của bạn. Nếu không, không sử dụng trang web đó và thực sự, sử dụng/tạo một mật khẩu khác (và dài mật khẩu!) Trên mỗi trang web bạn đang đăng ký. Bạn không bao giờ biết cái nào lưu mật khẩu đơn giản vào cơ sở dữ liệu của họ

3
genesis

Tôi sẽ nói vì mật khẩu ở ngoài kia để mọi người nhìn thấy, chỉ cần cập nhật nó thành mật khẩu mà bạn không sử dụng ở bất kỳ nơi nào khác. Do đó, không ai có thể hack thông tin của bạn trên bất kỳ trang web nào khác bằng mật khẩu trên trang web này. Ví dụ có thể là nếu email của bạn là thông tin đăng nhập của bạn và bạn đang sử dụng mật khẩu trên trang web này làm mật khẩu cho email của mình.

Ngoài ra, nếu bạn muốn cung cấp để giúp trang web lưu trữ mật khẩu hiệu quả và gửi cho họ liên kết của chuỗi stackoverflow này.

2
pal4life

Nếu nó truyền mật khẩu ở dạng văn bản đơn giản thì đó là "lỗ hổng".

Bước đầu tiên là tìm bằng chứng, chẳng hạn như bằng cách chạy Wireshark để nắm bắt mật khẩu khi chúng được gửi trên dây.

Bước thứ hai là liên hệ với công ty, chẳng hạn như bằng cách gửi e-mail đến "[email protected]". Các địa chỉ email "safe @" và "security @" là các hộp thư điện tử được các công ty thiết lập nếu họ quan tâm đến những khám phá đó.

Lưu các câu trả lời bạn nhận được từ công ty.

Khi rõ ràng là công ty sẽ không sửa nó, sau đó đăng một tin nhắn vào danh sách gửi thư " tiết lộ đầy đủ ". Mô tả ngắn gọn vấn đề, đưa ra bằng chứng và hiển thị phản hồi.

Đọc các bài đăng email đến danh sách công bố đầy đủ để xem những người khác đã làm điều này như thế nào.

1
Robert David Graham
  1. Đừng sử dụng một hệ thống mà bạn có thể chứng minh là không an toàn nếu bạn cần bảo mật.
  2. Liên hệ với công ty/chủ sở hữu chịu trách nhiệm phát triển hệ thống và chia sẻ bằng chứng về sự không an toàn của nó.
  3. Nếu bạn nhận được phản hồi không thuận lợi từ công ty/chủ sở hữu khiến họ không sẵn lòng sửa hệ thống để đảm bảo sự hài lòng của bạn, hãy chuyển sang hệ thống khác.
1
Bernard

Thực tiễn tốt nhất để xử lý hệ thống đó là gì:

Đừng sử dụng hệ thống đó với thông tin nhạy cảm. Xem xét những vấn đề sẽ xảy ra với bạn nếu có một số rò rỉ dữ liệu hoặc nếu ai đó bắt đầu sử dụng hệ thống với thông tin đăng nhập của bạn. Nếu đó là một tình huống không nên đi, hãy ngừng sử dụng hệ thống.

[thực hành tốt nhất trong giao dịch] và chủ sở hữu của hệ thống đó:

Đăng ký sự không hài lòng của bạn bằng email và bất kỳ phương tiện liên lạc nào khác: hỗ trợ khách hàng, gọi điện thoại, email liên hệ, forun, blog, wiki ...

trong khi giảm thiểu rủi ro cho chính mình thông qua việc sử dụng hệ thống:

nếu bạn cho rằng bạn sẽ sử dụng hệ thống đó bằng mọi giá, thì đừng sử dụng cùng một mật khẩu cho hệ thống đó và bất kỳ hệ thống nào khác. Nếu bạn không thể sử dụng email của mình làm thông tin đăng nhập, thậm chí còn tốt hơn.

hoặc báo cáo các vấn đề liên quan?

cùng một câu trả lời khác đã nói với bạn: đăng ký tất cả các khiếu nại của bạn, ngừng sử dụng nó.

1
woliveirajr

Thay đổi mật khẩu đã được đề xuất rồi. Thay đổi nó thành "không lưu trữ mật khẩu trong văn bản đơn giản, bạn than vãn!" và sau đó gửi email cho họ yêu cầu xóa tài khoản của bạn và xóa tất cả dữ liệu cá nhân có thể giúp tin nhắn của bạn được nghe.

Ngoài ra, mật khẩu trong văn bản đơn giản không phải là vấn đề vì cơ sở dữ liệu mật khẩu băm thậm chí có thể bị tấn công tàn bạo trong một khoảng thời gian hợp lý ngày nay, đặc biệt là nếu dữ liệu băm không chứa bất kỳ muối nào .

0
syneticon-dj