it-swarm-id.com

Apa yang harus dilakukan tentang situs web yang menyimpan kata sandi teks biasa

Baru-baru ini saya menerima email dari situs web lulusan pekerjaan populer (prosp.ac.uk) yang belum lama saya gunakan yang menyarankan saya menggunakan fitur baru. Itu berisi nama pengguna dan kata sandi saya dalam teks biasa. Saya kira ini berarti mereka telah menyimpan kata sandi saya dalam teks biasa.

Apakah ada yang bisa saya lakukan untuk meningkatkan keamanan mereka atau menghapus detail saya sepenuhnya dari sistem mereka?

PEMBARUAN: Terima kasih kepada semua orang atas sarannya. Saya mengirim email kepada mereka, menguraikan apa yang salah dan mengapa, mengatakan bahwa saya akan menulis kepada komisioner DP dan akan menambahkannya ke plaintextoffenders.com.

Saya mendapat respons satu jam kemudian: pesan otomatis yang berisi nama pengguna dan kata sandi untuk sistem dukungan mereka. Oh sayang...

84
jamesj

Tidak banyak yang dapat Anda lakukan selain menghubungi situs web dan mencoba menjelaskan kepada mereka seberapa buruk ide dan praktiknya menyimpan (dan mengirim email) kata sandi dalam teks biasa.

Satu hal yang dapat Anda lakukan adalah melaporkan situs yang menyinggung ke plaintextoffenders.com - situs (saat ini blog tumblr, tetapi kami segera mengerjakan situs yang tepat) yang mencantumkan "pelaku teks biasa" yang berbeda - - situs yang mengirimi Anda kata sandi Anda sendiri, sehingga memperlihatkan fakta bahwa mereka menyimpannya dalam teks biasa, atau menggunakan enkripsi yang dapat dibalik, yang sama buruknya.

Dengan segala sesuatu yang terjadi dengan Sony , lagi dan lagi, orang menjadi lebih sadar akan bahaya situs menyimpan detail sensitif yang tidak dienkripsi, namun banyak yang masih tidak. Ada lebih dari 300 situs yang dilaporkan, dengan lebih banyak laporan datang setiap hari!

Semoga, plaintextoffenders.com membantu dengan mengekspos lebih banyak situs. Setelah ini mendapat perhatian yang cukup di Twitter atau media sosial lainnya, terkadang situs berubah arah, dan perbaiki masalahnya! Sebagai contoh, Smashing Magazine dan Pingdom baru-baru ini mengubah cara mereka menangani kata sandi, dan tidak lagi menyimpan atau mengirim email kata sandi dalam teks biasa!

Masalahnya adalah kesadaran, dan saya berharap bahwa kita membantu penyebabnya dengan para pelanggar hukum.

50
Igal Tabachnik

Menyimpan kata sandi dalam plaintext sebenarnya bukan masalah - setidaknya, lebih sedikit daripada mengirim kata sandi tersebut dalam plaintext email!

Email ini hanya membuktikan bahwa administrator situs web tidak terlalu berhati-hati dengan informasi yang Anda percayakan kepada mereka, dan itu adalah alasan yang baik untuk tidak mempercayakan mereka dengan lebih banyak data.

14
Thomas Pornin

Gunakan kata sandi yang berbeda untuk setiap situs. Dengan begitu, ketika kata sandi dikompromikan (baik dengan mengintip transmisi email plaintext, atau bahkan jika database dengan benar kata sandi hash/salin telah di-crack), penyerang hanya akan dapat mengakses akun Anda di satu situs itu, daripada di semua situs di mana Anda memiliki kredensial akun yang sama.

... jadi Anda tidak perlu mengingat jutaan kata sandi: Stanford's PwdHash adalah ekstensi peramban praktis yang secara otomatis menghasilkan kata sandi unik dengan membuat kata sandi umum yang Anda masukkan dengan domain situs.

9
smokris

Kirimi mereka satu email yang meminta dihapus dari basis data mereka.

Jangan berikan informasi lebih lanjut tentang Anda kepada mereka

Pastikan untuk tidak menggunakan kata sandi itu di mana pun.

3
woliveirajr

Karena itu disarankan untuk menggunakan kata sandi lain di setiap situs.

Cobalah untuk mengirim email kepada mereka untuk menghapus akun Anda. Kalau tidak, jangan gunakan situs itu dan benar-benar, gunakan/hasilkan kata sandi lain (dan panjang!) Di setiap situs tempat Anda mendaftar. Anda tidak pernah tahu yang mana yang menyimpan kata sandi biasa ke dalam basis data mereka

3
genesis

Saya akan mengatakan karena kata sandi di luar sana untuk dilihat dunia, perbarui saja kata sandi yang tidak Anda gunakan di tempat lain. Jadi tidak ada yang bisa meretas informasi Anda di situs lain menggunakan kata sandi di situs ini. Contohnya bisa jika email Anda adalah login Anda dan Anda menggunakan kata sandi di situs ini sebagai kata sandi untuk email Anda.

Selain itu, jika Anda ingin menawarkan untuk membantu situs web dengan menyimpan kata sandi secara efektif dan mengirimkan mereka tautan dari alur stackoverflow ini.

2
pal4life

Jika mengirimkan kata sandi dalam bentuk teks biasa, ini merupakan "kerentanan".

Langkah pertama adalah menemukan bukti, seperti dengan menjalankan Wireshark untuk mengambil kata sandi saat dikirim melalui telepon.

Langkah kedua adalah menghubungi perusahaan, seperti dengan mengirim email ke "[email protected]". Alamat email "secure @" dan "security @" adalah kotak email yang disiapkan perusahaan jika mereka khawatir dengan penemuan tersebut.

Simpan tanggapan yang Anda dapatkan dari perusahaan.

Ketika menjadi jelas bahwa perusahaan tidak akan memperbaikinya, maka posting pesan ke milis " pengungkapan penuh ". Jelaskan masalah secara ringkas, perlihatkan buktinya, dan perlihatkan responsnya.

Baca posting email ke daftar pengungkapan penuh untuk melihat bagaimana orang lain melakukan ini.

1
  1. Jangan gunakan sistem yang bisa Anda buktikan tidak aman jika Anda perlu aman.
  2. Hubungi perusahaan/pemilik yang bertanggung jawab untuk mengembangkan sistem dan bagikan bukti ketidakamanannya kepada Anda.
  3. Jika Anda mendapatkan respons yang tidak menyenangkan dari perusahaan/pemilik yang membuat mereka tidak bersedia untuk memperbaiki sistem agar aman bagi kepuasan Anda, pindahlah ke sistem lain.
1
Bernard

Apa praktik terbaik dalam menangani sistem it:

Jangan gunakan sistem itu dengan informasi sensitif. Pertimbangkan masalah apa yang akan Anda hadapi jika ada kebocoran data, atau jika seseorang mulai menggunakan sistem dengan login Anda. Jika ini adalah situasi no-go, berhentilah menggunakan sistem.

[praktik terbaik dalam menangani] dan pemilik sistem it:

Daftarkan ketidakpuasan Anda menggunakan email dan cara kontak lainnya: dukungan pelanggan, panggilan telepon, email kontak, foruns, blog, wiki ...

sambil meminimalkan risiko pada diri Anda melalui penggunaan sistem:

jika Anda menganggap bahwa Anda tetap akan menggunakan sistem itu, maka jangan gunakan kata sandi yang sama untuk sistem itu dan sistem lainnya. Jika Anda tidak dapat menggunakan email Anda sebagai login, bahkan lebih baik.

atau melaporkan masalah terkait?

jawaban lain yang sama telah memberi tahu Anda: daftarkan semua keluhan Anda, berhenti menggunakannya.

1
woliveirajr

Mengubah kata sandi sudah disarankan. Mengubahnya menjadi "jangan menyimpan kata sandi dalam teks biasa, Anda menyesal!" dan kemudian mengirim email kepada mereka yang meminta untuk menghapus akun Anda dan menghapus semua data pribadi mungkin membantu pesan Anda didengar.

Selain itu, kata sandi dalam teks biasa tidak terlalu menjadi masalah karena bahkan basis data kata sandi hash dapat diserang secara brutal dalam waktu yang wajar saat ini, terutama jika data hash tidak mengandung garam .

0
syneticon-dj