HostGator stocke-t-il mon mot de passe en clair?
Je veux en parler à HostGator, mais je veux vérifier mes soupçons avant de faire toute une histoire.
J'ai demandé à un représentant du service client de m'aider à ajouter un certificat SSL à un site que j'héberge avec lui. Quand il a fini, j'ai reçu cet e-mail avec toutes mes informations de connexion et mon mot de passe complet en texte brut (j'ai laissé la première lettre visible comme preuve). J'ai créé ce mot de passe il y a plus d'un an, et ce fut une grande surprise de découvrir qu'ils me l'ont renvoyé, sans invite, en clair:
J'en ai immédiatement parlé au représentant, qui a tenté à plusieurs reprises de me convaincre que tout allait bien. J'ai décidé de le laisser tomber après quelques minutes, car je pense que je devrais le porter à quelqu'un de plus haut. Avant de le faire, est-il sûr de supposer que mon mot de passe est stocké dans leur base de données en texte brut? Si oui, avez-vous des suggestions sur la façon de résoudre ce problème avec le fournisseur?
Oui, c'est un gros problème, surtout si c'était votre ancien mot de passe (c'est-à-dire pas un nouveau mot de passe).
Techniquement, le mot de passe peut être stocké sous cryptage réversible plutôt qu'en texte brut, mais c'est presque aussi mauvais. La norme minimale absolue devrait être un hachage salé - rien de moins et toute personne ayant accès à la base de données d'authentification qui le souhaite peut utiliser une table Rainbow en ligne pour récupérer les mots de passe en clair en quelques instants - mais les fonctions de l'algorithme de hachage sécurisé (SHA) à une seule itération sont toujours facile à utiliser avec un GPU (ils sont conçus pour être rapides; un GPU haut de gamme peut calculer des milliards par seconde), ils devraient donc vraiment utiliser une fonction de hachage de mot de passe appropriée telle que scrypt ou argon2, ou à la rigueur bcrypt ou PBKDF2.
De plus, il n'y a absolument aucun moyen de garantir que le courrier électronique a été crypté sur tout le chemin entre leur serveur de messagerie et votre client de messagerie. Le courrier électronique a été conçu à une époque où les gens ne considéraient pas vraiment ces choses comme critiques, et à court d'un schéma de chiffrement de bout en bout comme OpenPGP ou S/MIME, le courrier électronique est au mieux chiffré de manière opportuniste et peut être transmis via un relais non chiffré.
Oui, ils stockent les mots de passe en clair ou équivalent, et les transmettent définitivement en texte brut. Cela a été découvert en 2011.
Ceci est confirmé que HostGator est répertorié sur Plaintext Offenders , ainsi que par son entrée dans le fichier CVS contenant une liste de délinquants. Ce n'est pas nouveau et est connu depuis au moins 2011. HostGator n'a pas réformé depuis. Le site Web des Plaintext Offenders montre une capture d'écran similaire à la vôtre comme preuve:
Si la réponse du représentant de l'entreprise est vraie, le mot de passe est stocké sous la forme texte crypté. Cela rend le mot de passe en texte brut dans e-mail non invité une plus grande préoccupation.
est-il sûr de supposer que mon mot de passe est stocké dans leur base de données en texte brut?
Le représentant de l'entreprise a explicitement indiqué qu'il ne stockait pas le mot de passe en texte brut. En supposant qu'il dit la vérité, ma conclusion est qu'ils stockent le mot de passe dans un texte crypté. Ils sont meilleurs que les mots de passe en texte brut mais ils ne sont toujours pas sécurisés. Le hachage et le salage sont le meilleur moyen de stocker les mots de passe.
Si le mot de passe stocké est crypté, la plus grande préoccupation ici n'est pas la façon dont il est stocké mais la façon dont il est transmis, en texte brut sur un e-mail lorsque l'utilisateur n'en a pas demandé.
avez-vous des suggestions sur la façon de résoudre ce problème avec le fournisseur?
Vous pouvez demander à l'entreprise de modifier les éléments suivants (dans l'ordre de priorité)
- Arrêtez d'envoyer des mots de passe par e-mail.
- Fournissez l'option Réinitialiser le mot de passe au lieu de le récupérer.
- Remplacez les mots de passe de cryptage par Hashing and Salting.
En réponse aux commentaires,
- Oui, il est fort probable que le représentant ment ou ne savait pas de quoi il parle. Mais il est également possible qu'il dise la vérité. Cette réponse traite de ce scénario.
- Je considère la transmission des mots de passe comme un problème plus important pour le stockage car le PO a reçu le mot de passe dans un e-mail alors qu'il n'en a pas demandé.
- J'ai vu des systèmes qui stockent les mots de passe dans un texte crypté et les envoient aux utilisateurs sur demande. Ils ne sont pas sûrs, mais ils existent. Ce n'est pas parce que vous avez reçu vos informations en texte brut qu'elles sont stockées de cette manière également.