最近、ISP(Spectrum)のパブリック外部ネットワークにログインすると、ネットワークの外部からアクセスできるので、ホームネットワークのWPA2パスワードがプレーンテキストで表示されることに気付きました。
これは明らかに、少なくともパスワードをハッシュしていないことを意味します。私のwifiにはランダムに生成された一意のパスワードがあります。そのため、お客様のWiFiデータベースが公開されている場合、リスクは限定的ですが、ほとんどの場合同じではありません。
これについて心配する必要がありますか?または、パスワードをハッシュしないことを許可するルーターのwifiパスワードについて何かありますか?
ここで問題がある場合、Spectrumにパスワードを適切に保護するように圧力をかけるにはどうすればよいですか?
ここで驚いたのは、パスワードがプレーンテキストで表示されるのではなく、ISPがwifiパスワードのコピーを保持しているという事実です。これは、あなたにインターネットを提供するために彼らがする必要があることではありません。 wifiを処理するのはルーターなので、パスワードを知っている必要があるのはルーターだけです。
それで、なぜ彼らはそれをこのようにすることを選んだのですか?私の推測では、これは顧客の便宜のためであり、簡単な方法でWi-Fiパスワードを思い出させることができます。ハッシュされたパスワードは平文に戻すことができないため、パスワードをハッシュすると、そのパスワードを保存する目的全体が無効になります。
じゃあ何をすればいいの? ISPのポリシーを変更できると期待しないでください。せいぜい、カスタマーサービスで誰かを困らせることができます。代わりに、強力で一意のパスワードを使用することを選択します。それでも十分でない場合は、使用する独自のwifiルーターを購入して、それが機能する場合は唯一のルーターとして、またはゲートウェイに接続された2番目のルーターとして使用できます。 (ここでは、ルーターから自動的にパスワードを取得していること、そして嘘をついて誤ったパスワードを与えることはできないと想定しています。)
entrop-x が示すように、ISPを変更することもできます。
ランダムなパスワードを使用し、すべてに同じ値を使用しないことに対する称賛。
物事の壮大な計画では、他の人が言ったように、それはそれほど大きな問題ではありません。それは本当に近接していることです。さて、そうは言っても、私はパラノイアのレベルで活動しているので、気になるところです。ここに理由があります。
ISPによって提供およびプロビジョニングされたゲートウェイデバイスがあるようです。私はComcast( "xFinity")でこれに遭遇しました。私は常に彼らに E-MTA を要求します。彼らは、私が彼らのゲートウェイデバイスを望んでいないことにいつも驚いています(数回移動しました...)。
私はしばらくデバイスが動かなくなったので、デバイスを少しいじってみました。彼らが機器を「設置」しているときに、私は彼らと馬鹿になって何が起こるかを見ました。技術者はキーが何であるかを尋ね、作業指示書にそれを書きました。次に、彼らのコネクト「X1」プラットフォームの一部が示され、テレビのリモコンに話しかけ、「私のWiFiパスワードは何ですか?」と尋ねることができます。その時点で、私が自分で入力した場合でも、とにかく彼らは平文を見たでしょう。
これらすべてについての私のポイントは、これはかなりのレベルの露出であると私が考えるということです。キーを取得するアクセスポイントは多数あり、それらを格納するためのコンプライアンス標準はありません(クレジットカードのPCI、医療記録のHIPAAなど)。コンプライアンス標準がないため、「眉をひそめる」一方で、保管中(データベース)または転送中(のいずれか)に、値を暗号化、トークン化、またはその他の方法で難読化するように強制する特定の場所はありません。システム間、テレビ、ブラウザに)。
私たちはそれらがあなたのアドレスとWifiキーの関係であることをすでに知っているので、マッピング部分は完了です。多分それはSELECT * FROM CUSTOMER_WIFI
と同じくらい簡単です。今、誰かが車に乗る必要があるだけです。 ISPの誰かが近くに住んでいると思いますか?たぶん、金曜日の夜に簡単な技術を楽しみたい数人の従業員ですか?
考えるためのほんの少しの食べ物。
これについて心配する必要がありますか?
はい。ローカルネットワークは、合理的にできる限り安全でなければなりません。さらに重要なことに、ISPはローカルネットワーク(これはユーザーの責任であり、デバイスへのアクセスを含みます)とインターネット(多かれ少なかれワイルドワイルドウエストです)の間のパイプに対して責任があります。
「それを入手するのに近い人にとっては問題だ」という他のすべての答えについては、インターネットに漏らされると、すでに十分に近いすべての人、そして退屈している10代とプレティーンの子供たちが、そのwifiパスワードを見つけます。
または、パスワードをハッシュしないことを許可するルーターのwifiパスワードについて何かありますか?
あなたの質問は間違った創設の仮定に基づいています。ユーザーを認証するためのパスワードを保存する場合、Webサイトは実際にパスワードハッシュアルゴリズムを使用する必要があります。つまり、ユーザーがログインに使用するすべてのもの。
あなたの場合、ISPはあなたが彼らのウェブサイトにログインしていないものを保存しています。問題は、彼らがそれを保管する方法ではなく、問題を彼らが完全に保管するのを止める方法です。
これはWi-Fiパスワードに三重に当てはまることに注意してください。適切なストレージ暗号化パスワードとは異なり、パスワードを紛失するとデータが失われ、Wi-Fiパスワードを紛失すると、アクセスポイント/ルーターとデバイスでリセットするだけです。これは、他のすべての人がそれを使用できなくなるという(あなたが正しく行う場合)という副次的な利点があります。
ここで問題がある場合、Spectrumにパスワードを適切に保護するように圧力をかけるにはどうすればよいですか?
スペクトルにどのように圧力をかけますか?あなたはあなたのwifiパスワードを保持しない別のISPに行き、あなたが去る理由をSpectrumに伝えます。
彼らがすべきでないパスワードを持っているという問題をどのように解決しますか?独自の アクセスポイント 、またはアクセスポイント+ ファイアウォール 、または自宅のwifiルーター/「ファイアウォール」を購入し、Spectrum wifiパスワードを長くランダムなものに変更してから、 Spectrum wifiを完全に、自分のデバイスのみを使用して、理想的には自分のファイアウォールの背後でSpectrumから保護します。
彼らがあなたのwifiパスワードを持っていることはおそらくそれほど大したことではないでしょう。
Wifiパスワードは近くの人にのみ役立つので、データベースから侵入されたとしても、ほとんどの場合、便利に悪用できるとは考えられません。つまり、価値があると思われない場合は、まったくそうではありません。
一意のネットワークSSIDがあるか、物理アドレスが保存されている場合、公開されたダンプの場合、ローカルの誰かがあなたを攻撃する可能性がありますが、近隣に十分な安全でない、または「パスワード1」で保護されたネットワークが存在しない可能性があります気になるだろう。
違反でさらに心配なのは、Spectrumのアカウントがクレジットカード情報などの他の個人データにリンクされている可能性が高いことです。
しかし、彼らはあなたのwifiパスワードを取得したことを心配しています。
このパスワードはどのようにしてデータベースに登録されたのですか?あなたが彼らにそれを与えなかった場合、あなたのルーターはそうしました、それはそれがあなたについて報告していることを意味し、彼らがそれにリモートアクセスできることを意味するかもしれません。彼らがそれをするなら、それはどこの誰でもそれが悪用されることができるのでそれが心配であるそのログインが解放されることです。