今夜、私はホストしているWebサイトのcPanelを使用していましたが、パスワードを変更しようとしたときに、以前のパスワードとあまりにも似ていたため、パスワードを希望のパスワードに変更できないという警告を受け取りました。
新しいパスワードの文字列を以前のパスワードと比較できることを意味するため、これらはすぐに眉を上げました。プレーンテキストで保存されるか(ウェブホスティング会社用ではありません)、または解読可能なアルゴリズムで保存されます(どちらが本当に良くないですか?)
または、これはcPanel全体の問題ですか?今週初め、私はcPanelを使用する.com会社と計画にサインアップしました。次の画面でパスワードを入力すると、パスワードが「xxxxx」に正常に変更されたことがわかりました。データは保存されていましたが、この懸念のためにこのサイトには何も載せていません。
PGPなどの暗号化技術を使用してパスワードを解読している可能性はありますか?
私は両方の会社にこの問題についての説明を求めて電子メールを送りましたが、それらから「会社の発言」しか返されないのではないかと心配しています。
この質問がSOのQ&A構造に正確に適合するかどうかはわかりませんが、パスワードI/OはインターネットIMOで最も重要なものの1つです。Webサイトをホストしている会社のセキュリティが不十分な場合、それは深刻な問題です。
一般的にあなたの仮定は真実です。しかし、cPanelコードを自分で調べないと、実際の状況がわかりません。ただし、 locality-sensitive hashing のようなものがあります。
わずかな変更でも大きな違いを生む通常のハッシュアルゴリズムとは異なり、局所性に敏感なハッシュは、ハッシュされていない元のテキスト間の類似性/距離を反映するハッシュを生成します。しかし、これらが実際に暗号化ハッシュとして使用されることを意図しているとは思わない。類似検索(画像検索など)によく使用されます。
まず、PGPは秘密鍵と公開鍵を使用して暗号化するために使用されます。パスワードや、ホスティングサーバーでの暗号化に使用されるアルゴリズムとは関係ありません。パスワードを保存するためにMD5ハッシュが使用される可能性が高いです。将来的に同じまたは類似のパスワードを使用できないようにするため、クリアテキストバージョンが唯一の理由で保存される場合があります。私のホスティング会社では、8文字以上の大文字、小文字、数字を使用しています。
パスワードの一部を使用して、サポートと話すときにサイトの所有者であることを確認する会社には同意しませんが。 IMOのより良いプラクティスは、クリアテキストバージョンを保存せずにパスワードをハッシュすることです。パスを忘れた場合は、トークンを使用してパスワードを変更できます。また、以前のパスワードから新しいパスワードへのmd5ハッシュのマッチングは、同じパスワードを使用できないようにするのに十分簡単です。
パスワードをハッシュする前に、企業は文字の長さとタイプの最小要件を満たしているかどうかを簡単に確認できます。
企業がcPanelを使用している場合、パスワードアルゴリズムのバリエーションを見つけることはまずないでしょう。したがって、GoDaddyや、独自のコントロールパネルを持っている他の人を見ることができます。
パスワードの一部のハッシュを保存しているのかもしれません。これにより、パスワードまたは一部をクリアテキストとして保存せずに類似性を検出できる可能性がありますが、パスワードをハッシュ化するセキュリティも少なくともある程度無効になると思います。
どういうわけか、パスワードのプレーンテキストバージョンは取得可能だと思われますが、これは悪い習慣です。
少なくともあなたのパスワードは暗号化されていることを願っていますが、それを当てにしてはいけません。
これをウェブホストに指摘するのは良いことです!