主要なWebサイトで複数のパスワードが単一のアカウントにログインしているように見える
非常に人気のあるWebサイトのアカウントを1つ持っています。設定したパスワードの特定のバリエーションで正常にログインできることに気付きました。3つの異なるブラウザーでバリエーションをテストしましたが、すべて同じ動作をしました。
- これはセキュリティ上の欠陥ですか?
- もしそうなら、私はこの情報をどうすればいいですか?
これは架空の問題ではありません。多くの人が使用する有名なWebサイトであるため、ログインに成功したバリエーションについては意図的に説明しませんでした。
これはセキュリティ上の欠陥ですか?
言うのは難しい!
ログインのためのユーザーエクスペリエンスを改善するために、会社側の意図的な動きである可能性があります。Facebookはユーザーエクスペリエンスのためにこれを行っていることを知っています。これは別の方法で 以前に尋ねられた です。
Facebookがこれを行っていることについての記事はいくつかありますが、Facebookから何も見つけられませんでした。私がdidで見つけた唯一のことは この記事 で、これについてFacebookエンジニアに尋ねたことについて述べています。
here で説明されているように、実際のパスワードではないパスワードを受け入れるとセキュリティが損なわれることがほぼ保証されているため、これを安全に引き出すことは非常に困難です。
もしそうなら、私はこの情報をどうすればいいですか?
この種のことをしている会社についてオンラインで情報を見つけることができない場合(会社の規模に重点を置いているので、Facebookのようだと思いますか?)、彼らに連絡することをお勧めします。それらがかなり大きな可能性であるならば、彼らは以前にこれを尋ねられたことがあり、比較的簡単にあなたに答えることができるはずです。一部の企業は、この質問を送信できるセキュリティチームのメールボックスを公開しています。
@orbuculumの回答には、この「何をすべきか」の側面を処理する方法に関する優れたリソースがいくつかあります。両方の極端(つまり、過剰に反応してレポーターを処罰することと、反応が不十分でコミュニケーションを無視すること)の両方が、少なくともオンラインレポートからは企業内でかなり一般的であるように見えるため、これは扱いにくい領域です。会社があなたの言うほど大規模で人気がある場合、これについての心配は少なくなるはずです。
N.B:私がうさぎの穴を下っていたときに、ハッシュ関数自体の中でこれを行う方法について説明している Locality-sensitive hashing にも出会いました。
これはセキュリティ上の欠陥ですか?はい!
そうである場合、この情報をどうすればよいですか?
IT部門に連絡することをお勧めします。あなたは彼らに脆弱性にパッチを当てる時間を与えたいです(2週間が標準です)。 IT部門が応答しないか、問題を修正しない場合は、その後、会社の他の人々に連絡します;たとえば、上級管理職。電話で連絡するのがおそらく最も効率的な方法ですが、個人的には電子的な方法を使用します。そのようなことに関しては、ドキュメントが重要であるためです。
このすべての後に、stillこれを修正するためのアクションが何も取られていない場合は、公開するオプションがあります。このドキュメントは、あなたが会社に連絡を取ろうとしたが、あなたの試みは気づかれなかったことを説明するはずです。公開は社会的および倫理的責任であると考える人もいますが、これは最後のステップとしてのみ行うべきです。彼らに連絡したいprivately最初に、述べられた理由による。
次に進む前に読む必要のある追加のドキュメントをいくつか示します。
あなたの情報に基づいて、これがセキュリティの問題であるかどうかをはっきりと言うことはできません。答えは、可能なバリエーションの正確な種類によって異なりますが、この情報は提供しません。
たとえば、サイトがパスワードから空白を取り除いている場合、大文字と小文字の区別を無視する場合、またはパスワードを短縮する場合、この変換によってパスワードがセキュリティレベルに単純化されない限り、サイトは十分に安全であると見なされます。力ずくで攻撃するような攻撃を現実的に可能にします。
代わりに、たとえば、サイトが Intel AMT認証の最近の脆弱性 または 2000からのWindowsファイル共有のこのバグ のように入力した文字数だけを比較する場合それは間違いなく問題になります。