it-swarm-tr.com

Düz metin şifreleri depolayan web siteleri hakkında ne yapmalı?

Kısa süre önce popüler bir lisansüstü iş web sitesinden (prospects.ac.uk) yeni bir özellik kullandığımı gösteren bir e-posta aldım. Hem kullanıcı adımı hem de şifremi düz metin olarak içeriyordu. Bu, şifremi düz metin olarak sakladıkları anlamına geliyor.

Güvenliklerini artırmak veya ayrıntıları sistemimden tamamen kaldırmak için yapabileceğim bir şey var mı?

GÜNCELLEME: Tavsiye için herkese teşekkürler. Onlara e-posta gönderdim, neyin yanlış olduğunu ve nedenini söyledim, DP komiserine yazacağımı ve plaintextoffenders.com'a ekleyeceğimi söyledim.

Bir saat sonra yanıt aldım: destek sistemi için kullanıcı adı ve şifre içeren otomatik bir mesaj. Ah hayatım...

84
jamesj

Gerçekten yapabileceğiniz pek bir şey yok, web sitesi ile iletişime geçin ve şifreleri düz metinde saklamanın (ve e-postayla göndermenin) ne kadar kötü olduğunu deneyin ve açıklayın.

Yapabileceğiniz bir şey, farklı "düz metin suçluları listeleyen bir siteyi plaintextoffenders.com - bir siteye (şu anda bir tumblr blogu, ancak yakında uygun bir sitede çalışacağız) bildirmektir. "- size kendi şifrenizi e-postayla gönderen ve böylece düz metin olarak sakladıklarını veya tersine çevrilebilir bir şifreleme kullandıklarını açığa çıkaran siteler.

Her şey Sony ile oldu , insanlar tekrar tekrar hassas bilgilerin saklandığı sitelerin tehlikelerinin daha farkında olurlar, ancak birçoğu hala değildir. 300'den fazla site bildirildi, her gün daha fazla rapor geliyor!

Umarım, plaintextoffenders.com gittikçe daha fazla siteyi ortaya çıkararak yardımcı olur. Bu Twitter veya diğer sosyal medyada yeterince dikkat çektiğinde, bazen siteler yollarını değiştirir ve sorunu düzeltir! Örneğin, Smashing Magazine ve Pingdom kısa bir süre önce şifrelerle uğraşma şeklini değiştirdi ve şifreleri artık düz metin olarak saklamıyor veya e-postayla göndermiyor!

Sorun farkındalıktır ve umarım nedene düzeksten yardım ederiz.

50
Igal Tabachnik

Parolayı düz metin olarak saklamak gerçekten bir sorun değildir - en azından söz konusu parolayı düz metin olarak göndermekten çok daha az e-posta!

Bu e-posta, web sitesi yöneticilerinin kendilerine emanet ettiğiniz bilgiler konusunda çok dikkatli olmadıklarını kanıtlar ve bu da onları daha fazla veriye emanet etmemek için iyi bir nedendir.

14
Thomas Pornin

Her site için farklı bir şifre kullanın. Bu şekilde, şifrenin güvenliği ihlal edildiğinde (düz metin e-posta iletimlerini gözeterek veya düzgün bir veritabanına sahip olsa bile) karma/tuzlanmış şifreler kırılmışsa), saldırgan hesabınıza benzer hesap kimlik bilgilerine sahip olduğunuz tüm siteler yerine yalnızca tek bir sitede erişebilir.

... ve böylece bir milyon parolayı hatırlamak zorunda kalmazsınız: Stanford'un PwdHash otomatik olarak kullanılan kullanışlı bir tarayıcı uzantısıdır sitenin alan adıyla girdiğiniz ortak bir şifre oluşturarak benzersiz şifreler oluşturur.

9
smokris

Onlara veritabanlarından kaldırılmasını isteyen bir e-posta gönderin.

Onlarla ilgili daha fazla bilgi verme

Bu şifreyi hiçbir yerde kullanmadığınızdan emin olun.

3
woliveirajr

Bu yüzden her sitede başka bir şifre kullanılması önerilir.

Hesabınızı silmek için onlara e-posta göndermeyi deneyin. Aksi takdirde bu siteyi kullanmayın ve kayıt olduğunuz her sitede başka bir şifre (ve uzun bir şifre!) Kullanın/oluşturun. Hangilerinin düz şifreleri veritabanlarına depoladığını asla bilemezsiniz

3
genesis

Parola dünyanın görmesi için orada olduğundan, sadece başka bir yerde kullanmadığınız bir parolaya güncelleyin. Böylece hiç kimse bu sitedeki şifreyi kullanarak bilgilerinizi başka bir siteye hackleyemez. Örneğin, e-postanız giriş adınızsa ve bu sitedeki şifreyi e-postanız için bir şifre olarak kullanıyorsanız olabilir.

Bunun dışında, etkili bir şekilde şifreleri saklamak ve onlara bu yığın akışı iş parçacığının bağlantısını göndermek için web sitesine yardım teklif etmek istiyorsanız.

2
pal4life

Şifreleri düz metin olarak aktarıyorsa, bu bir "güvenlik açığıdır".

İlk adım, şifreleri kabloya gönderilirken yakalamak için Wireshark'ı çalıştırmak gibi bir kanıt bulmaktır.

İkinci adım, "[email protected]" adresine e-posta göndererek şirkete başvurmaktır. "Secure @" ve "security @" e-posta adresleri, şirketlerin bu tür keşiflerden endişe duyduklarında kurdukları e-posta kutularıdır.

Şirketten aldığınız yanıtları kaydedin.

Şirketin düzeltmeyeceği belli olduğunda, " tam açıklama " posta listesine bir mesaj gönderin. Sorunu kısa bir şekilde tanımlayın, kanıtı gösterin ve yanıtı gösterin.

Diğer kişilerin bunu nasıl yaptığını görmek için tam açıklama listesine e-posta gönderilerini okuyun.

1
  1. Güvenli olması gerektiğinde güvenli olmadığını kanıtlayabileceğiniz bir sistem kullanmayın.
  2. Sistemi geliştirmekten sorumlu şirkete/sahibine başvurun ve güvensizliğine ilişkin kanıtınızı paylaşın.
  3. Şirketten/sahibinden, sistemi sizin memnuniyetinize göre güvence altına almak için isteksiz oldukları anlamına gelen olumsuz bir yanıt alırsanız, başka bir sisteme geçin.
1
Bernard

Bu sistemle başa çıkmada en iyi uygulamalar nelerdir:

Bu sistemi hassas bilgilerle kullanmayın. Bazı veri sızıntıları varsa veya birisi sisteminizi giriş bilgilerinizle kullanmaya başlarsa sizin için sorunların ne olacağını düşünün. Hareketsiz durumsa, sistemi kullanmayı bırakın.

[işlemdeki en iyi uygulamalar] ve bu sistemin sahipleri:

E-posta ve diğer iletişim araçlarını kullanarak memnuniyetsizliğinizi kaydedin: müşteri desteği, telefon görüşmesi, iletişim e-postaları, forunlar, bloglar, wikiler ...

sistemi kullanarak kendiniz için riski en aza indirirken:

bu sistemi yine de kullanacağınızı düşünüyorsanız, o sistem ve başka herhangi bir sistem için aynı şifreyi kullanmayın. E-postanızı giriş olarak kullanamazsanız, daha da iyisi.

veya ilgili sorunların raporlanması?

aynı diğer cevaplar size söyledi: tüm şikayetinizi kaydedin, kullanmayı bırakın.

1
woliveirajr

Parolanın değiştirilmesi zaten önerildi. Bunu değiştirmek için "düz metin şifreleri saklamayın, sen lanet!" ve ardından hesabınızı kaldırmayı ve tüm kişisel verileri silmeyi isteyen e-postalar iletinizin duyulmasına yardımcı olabilir.

Bunun dışında, düz metin şifreleri o kadar da önemli değildir çünkü karma şifre veritabanları bile günümüzde makul bir sürede bruteforce-saldırıya uğrayabilir, özellikle karma veriler herhangi bir tuz içermiyorsa .

0
syneticon-dj