Que faire des sites Web qui stockent des mots de passe en texte brut
J'ai récemment reçu un e-mail d'un site Web populaire pour les diplômés (prospects.ac.uk) que je n'ai pas utilisé depuis un moment me suggérant d'utiliser une nouvelle fonctionnalité. Il contenait à la fois mon nom d'utilisateur et mon mot de passe en texte brut. Je suppose que cela signifie qu'ils ont stocké mon mot de passe en texte brut.
Puis-je faire quelque chose pour améliorer leur sécurité ou supprimer complètement mes informations de leur système?
MISE À JOUR: Merci à tous pour les conseils. Je leur ai envoyé un e-mail, expliquant ce qui n'allait pas et pourquoi, en disant que j'écrirai au commissaire DP et que je les ajouterai à plainxtoffenders.com.
J'ai reçu une réponse une heure plus tard: un message automatisé contenant un nom d'utilisateur et un mot de passe pour leur système d'assistance. Oh cher...
Il n'y a pas grand-chose que vous puissiez faire, à part contacter le site Web et essayer de leur expliquer à quel point une idée et une pratique sont mauvaises pour stocker (et envoyer par e-mail) des mots de passe en texte brut.
Une chose que vous pouvez faire est de signaler tout site incriminé à plaintextoffenders.com - un site (actuellement un blog tumblr, mais nous travaillons bientôt sur un site approprié) qui répertorie différents "délinquants en texte brut" - les sites qui vous envoient votre propre mot de passe par e-mail, exposant ainsi le fait qu'ils le stockent en texte brut, ou en utilisant un cryptage réversible, ce qui est tout aussi mauvais.
Avec tout ce qui est arrivé avec Sony , les gens deviennent de plus en plus conscients des dangers des sites stockant des détails sensibles non cryptés, mais beaucoup ne le sont toujours pas. Il y a plus de 300 sites signalés, et plus de rapports arrivent chaque jour!
Espérons que plainxtoffenders.com aide en exposant de plus en plus de sites. Une fois que cela attire suffisamment l'attention sur Twitter ou d'autres médias sociaux, les sites changent parfois leur chemin et résolvent le problème! Par exemple, Smashing Magazine et Pingdom ont récemment changé la façon dont ils traitent les mots de passe, et ne stockent plus ni n'envoient les mots de passe en texte brut!
Le problème est la prise de conscience, et j'espère que nous aiderons la cause avec les délinquants en clair.
Stocker un mot de passe en texte clair n'est pas vraiment un problème - du moins, beaucoup moins que d'envoyer ledit mot de passe en texte brut email!
Cet e-mail prouve simplement que les administrateurs du site Web ne sont pas très prudents avec les informations que vous leur confiez, et c'est une bonne raison de ne pas leur confier plus de données.
Utilisez un mot de passe différent pour chaque site. De cette façon, lorsque le mot de passe est compromis (que ce soit en espionnant les transmissions d'e-mails en texte brut, ou même si une base de données avec correctement les mots de passe hachés/salés sont piratés), l'attaquant ne pourra accéder à votre compte que sur ce site, plutôt que sur tous les sites sur lesquels vous disposez d'informations d'identification de compte similaires.
... et donc vous n'avez pas à vous souvenir d'un mot de passe zillion: Stanford's PwdHash est une extension de navigateur pratique qui automatiquement génère des mots de passe uniques en hachant un mot de passe commun que vous entrez avec le domaine du site.
Envoyez-leur un e-mail demandant à être supprimé de leur base de données.
Ne leur donnez pas plus d'informations sur vous
Assurez-vous de ne pas utiliser ce mot de passe n'importe où.
C'est pourquoi il est recommandé d'utiliser un autre mot de passe sur chaque site.
Essayez de leur envoyer un e-mail pour supprimer votre compte. Sinon, n'utilisez pas ce site et vraiment, utilisez/générez un autre mot de passe (et un long!) Sur chaque site auquel vous vous inscrivez. Vous ne savez jamais lesquels stockent des mots de passe simples dans leur base de données
Je dirais que puisque le mot de passe est disponible pour le monde entier, mettez-le simplement à jour avec un mot de passe que vous n'utilisez nulle part ailleurs. Ainsi, personne ne peut pirater vos informations sur un autre site en utilisant le mot de passe de ce site. Par exemple, votre e-mail est votre identifiant et vous utilisez le mot de passe de ce site comme mot de passe pour votre e-mail.
En dehors de cela, si vous souhaitez proposer d'aider le site Web à stocker efficacement les mots de passe et à leur envoyer le lien de ce thread stackoverflow.
S'il s'agit de transmettre des mots de passe en texte brut, c'est une "vulnérabilité".
La première étape consiste à trouver une preuve, par exemple en exécutant Wireshark pour capturer les mots de passe lorsqu'ils sont envoyés sur le câble.
La deuxième étape consiste à contacter l'entreprise, par exemple en envoyant un e-mail à "[email protected]". Les adresses e-mail "secure @" et "security @" sont les boîtes aux lettres électroniques mises en place par les entreprises si elles sont concernées par de telles découvertes.
Enregistrez les réponses que vous obtenez de l'entreprise.
Lorsqu'il devient évident que l'entreprise ne va pas le réparer, postez un message sur la liste de diffusion " full -closure ". Décrivez succinctement le problème, montrez la preuve et montrez la réponse.
Lisez les publications par e-mail dans la liste de divulgation complète afin de voir comment d'autres personnes ont fait cela.
- N'utilisez pas un système dont vous pouvez prouver qu'il n'est pas sûr si vous en avez besoin pour être sécurisé.
- Contactez l'entreprise/le propriétaire responsable du développement du système et partagez votre preuve de son insécurité.
- Si vous obtenez une réponse défavorable de la part de l'entreprise/du propriétaire qui équivaut à ne pas vouloir corriger le système pour qu'il soit sécurisé à votre satisfaction, passez à un autre système.
Quelles sont les meilleures pratiques pour gérer ce système:
N'utilisez pas ce système avec des informations sensibles. Considérez quels seraient les problèmes pour vous s'il y a une fuite de données ou si quelqu'un commence à utiliser le système avec votre connexion. Si c'est une situation interdite, arrêtez d'utiliser le système.
[meilleures pratiques de négociation] et propriétaires de ce système:
Enregistrez votre insatisfaction par e-mail et tout autre moyen de contact: support client, appel téléphonique, e-mails de contact, foruns, blogs, wikis ...
tout en minimisant les risques pour vous-même via l'utilisation du système:
si vous considérez que vous utiliserez ce système de toute façon, n'utilisez pas le même mot de passe pour ce système et tout autre système. Si vous ne pouvez pas utiliser votre e-mail comme identifiant, c'est encore mieux.
ou signalement des problèmes liés?
les mêmes réponses vous ont dit: enregistrez toutes vos plaintes, arrêtez de les utiliser.
La modification du mot de passe a déjà été suggérée. Changer en "ne stockez pas les mots de passe en texte brut, vous lamers!" puis leur envoyer un e-mail en leur demandant de supprimer votre compte et de supprimer toutes les données personnelles pourrait aider votre message à être entendu.
En dehors de cela, les mots de passe en texte brut ne sont pas vraiment un problème car même les bases de données de mots de passe hachés peuvent être attaquées par force brute dans un délai raisonnable de nos jours, en particulier si les données hachées ne contiennent aucun sel .