web-dev-qa-db-ja.com

プレーンテキストのパスワードを保存するWebサイトについて

最近、人気のある新卒採用ウェブサイト(prospects.ac.uk)から、しばらくの間使用していないが、新機能を使用するように勧めるメールを受け取りました。ユーザー名とパスワードの両方がプレーンテキストで含まれていました。これは、彼らが私のパスワードをプレーンテキストで保存したことを意味すると思います。

彼らのセキュリティを向上させるために、またはシステムから私の詳細を完全に削除するために私ができることはありますか?

更新:アドバイスありがとうございます。私は彼らにメールを送り、何がどこが悪いのか、理由を明記し、私はDPコミッショナーに手紙を書き、plaintextoffenders.comに追加するつもりだと言った。

1時間後に応答がありました。サポートシステムのユーザー名とパスワードを含む自動メッセージです。まあ...

84
jamesj

Webサイトに連絡して、パスワードをプレーンテキストで保存(および電子メール)するのがどれほど悪いことであるかを実際に試してみること以外に、できることはほとんどありません。

あなたができることの1つは、問題のあるサイトを plaintextoffenders.com に報告することです。自分のパスワードをメールで送信するサイト。そのため、プレーンテキストで保存するか、リバーシブル暗号化を使用するという事実が露呈します。

すべてが Sonyで問題 になると、機密情報を暗号化せずに保存しているサイトの危険性に人々は気づきますが、多くはまだそうではありません。 300を超えるサイトが報告されており、毎日さらに多くのレポートが送信されます!

うまくいけば、plaintextoffenders.comは、ますます多くのサイトを公開することで役立ちます。これがTwitterや他のソーシャルメディアで十分な注目を集めると、サイトが状況を変えて問題を修正することがあります。たとえば、 Smashing MagazinePingdom は最近、パスワードの処理方法を変更し、パスワードをプレーンテキストで保存したり、メールで送信したりしなくなりました。

問題は意識であり、私は平文の犯罪者と共に原因を助けることを望みます。

50
Igal Tabachnik

パスワードをプレーンテキストで保存することは、実際には問題ではありません-少なくとも、プレーンテキストでパスワードを送信するよりははるかに少ないemail

このメールは、ウェブサイトの管理者があなたに委託した情報に細心の注意を払っていないことを証明しているだけであり、それが彼らにそれ以上のデータを委託しないことの正当な理由です。

14
Thomas Pornin

サイトごとに異なるパスワードを使用します。このようにして、パスワードが危険にさらされた場合(プレーンテキストの電子メール送信をスヌーピングすることによって、またはデータベースが適切にハッシュ/ソルトされたパスワードが解読された場合)、攻撃者は、同様のアカウント資格情報を持つすべてのサイトではなく、その1つのサイトでのみアカウントにアクセスできます。

...したがって、無数のパスワードを覚える必要はありません:スタンフォードの PwdHash は、自動的に使用できる便利なブラウザ拡張機能です入力した共通のパスワードをサイトのドメインでハッシュすることにより、固有のパスワードを生成します。

9
smokris

データベースから削除するように依頼するメールを1通送信します。

彼らについてあなたについてこれ以上の情報を与えないでください

そのパスワードはどこでも使用しないようにしてください。

3
woliveirajr

そのため、各サイトで別のパスワードを使用することをお勧めします。

それらを電子メールで送信して、アカウントを削除してください。それ以外の場合は、そのサイトを使用せず、実際に、登録する各サイトで別のパスワード(および長いパスワード)を使用/生成します。どのパスワードがプレーンパスワードをデータベースに保存しているのかわからない

3
genesis

パスワードは世界中に公開されているため、他で使用していないパスワードに更新するだけです。したがって、このサイトのパスワードを使用して他のサイトの情報をハッキングすることはできません。例としては、電子メールがログインであり、このサイトのパスワードを電子メールのパスワードとして使用している場合があります。

それ以外に、パスワードを効果的に保存してWebサイトを支援し、このstackoverflowスレッドのリンクを送信することを提案したい場合。

2
pal4life

パスワードをプレーンテキストで送信する場合、それは「脆弱性」です。

最初のステップは、Wiresharkを実行してパスワードが送信されるときにパスワードを取得するなどして、証拠を見つけることです。

2番目のステップは、「[email protected]」に電子メールを送信するなどして、会社に連絡することです。電子メールアドレス「secure @」と「security @」は、そのような発見に関心がある場合に企業が設定する電子メールボックスです。

会社から受け取った応答を保存します。

会社が修正しないことが明らかになった場合は、メッセージを " full-disclosure "メーリングリストに投稿してください。問題を簡潔に説明し、証拠を示し、対応を示します。

他の人がこれをどのように行ったかを確認するために、完全開示リストへのメール投稿を読んでください。

1
  1. 安全が必要な場合に安全でないことが証明できるシステムは使用しないでください。
  2. システムの開発を担当する会社または所有者に連絡し、システムが不安定であることの証拠を共有してください。
  3. 会社/所有者から、システムを修正して満足できるように修正することに消極的であるという好ましくない反応を受け取った場合は、別のシステムに移動してください。
1
Bernard

そのシステムに対処するためのベストプラクティスは何ですか

機密情報を含むシステムを使用しないでください。データ漏洩があった場合、または誰かがあなたのログインでシステムを使用し始めた場合、どのような問題が発生するかを検討してください。立ち入り禁止の場合は、システムの使用を中止してください。

[取引のベストプラクティス]とそのシステムの所有者

電子メールおよびその他の連絡手段を使用して、不満を登録します:カスタマーサポート、電話、連絡先メール、フォーラム、ブログ、Wiki ...

システムを使用して自分自身のリスクを最小限に抑えながら

とにかくそのシステムを使用することを検討する場合は、そのシステムと他のシステムに同じパスワードを使用しないでください。あなたのメールアドレスをログインとして使用できない場合は、さらに良いでしょう。

または関連する問題の報告?

他の同じ答えがあなたに言った:すべてのあなたの不満を登録し、それを使用しないでください。

1
woliveirajr

パスワードの変更はすでに提案されています。それを「パスワードをプレーンテキストで保存しないでください、どうぞ!」に変更します。次に、アカウントを削除してすべての個人データを削除するよう依頼するメールを送信すると、メッセージが聞こえやすくなります。

それとは別に、ハッシュ化されたパスワードデータベースでも、特にハッシュ化されたデータが含まれていない場合、特に ハッシュ化されたパスワードデータベースでさえ、かなりの時間でブルートフォース攻撃される可能性があるため、それほど問題ではありません。任意の塩

0
syneticon-dj