it-swarm-eu.dev

Was tun mit Websites, auf denen Nur-Text-Passwörter gespeichert sind?

Ich habe kürzlich eine E-Mail von einer beliebten Website für Absolventenjobs (spects.ac.uk) erhalten, die ich seit einiger Zeit nicht mehr verwendet habe, und vorgeschlagen, eine neue Funktion zu verwenden. Es enthielt sowohl meinen Benutzernamen als auch mein Passwort im Klartext. Ich gehe davon aus, dass dies bedeutet, dass sie mein Passwort im Klartext gespeichert haben.

Kann ich irgendetwas tun, um entweder die Sicherheit zu verbessern oder meine Daten vollständig aus dem System zu entfernen?

PDATE : Vielen Dank an alle für den Rat. Ich schickte ihnen eine E-Mail, in der ich darlegte, was falsch war und warum, und sagte, dass ich an den DP-Kommissar schreiben und sie zu plaintextoffenders.com hinzufügen werde.

Eine Stunde später erhielt ich eine Antwort: eine automatisierte Nachricht mit einem Benutzernamen und einem Passwort für das Support-System. Ach je...

84
jamesj

Sie können nicht wirklich viel tun, außer die Website zu kontaktieren und ihnen zu erklären, wie schlecht eine Idee und Praxis ist, Passwörter im Klartext zu speichern (und per E-Mail zu versenden).

Eine Sache, die Sie tun können, ist, jede beleidigende Website an plaintextoffenders.com zu melden - eine Website (derzeit ein Tumblr-Blog, aber wir arbeiten bald an einer geeigneten Website), auf der verschiedene "Klartext-Straftäter" aufgelistet sind - Websites, die Ihnen Ihr eigenes Passwort per E-Mail zusenden und so die Tatsache offenlegen, dass sie es entweder im Klartext speichern oder eine umkehrbare Verschlüsselung verwenden, was ebenso schlecht ist.

Mit allem, was passiert mit Sony , werden die Leute immer wieder auf die Gefahren von Websites aufmerksam, auf denen vertrauliche Details unverschlüsselt gespeichert werden, viele jedoch immer noch nicht. Es wurden über 300 Websites gemeldet, und jeden Tag kommen weitere Berichte!

Hoffentlich hilft plaintextoffenders.com, indem es immer mehr Websites verfügbar macht. Sobald dies auf Twitter oder anderen sozialen Medien genügend Beachtung findet, ändern Websites manchmal ihren Weg und beheben das Problem! Zum Beispiel haben Smashing Magazine und Pingdom kürzlich den Umgang mit Passwörtern geändert und speichern oder mailen die Passwörter nicht mehr im Klartext!

Das Problem ist das Bewusstsein, und ich hoffe, dass wir der Sache mit Klartext-Tätern helfen.

50
Igal Tabachnik

Das Speichern eines Passworts im Klartext ist kein wirkliches Problem - zumindest viel weniger als das Senden des Passworts im Klartext E-Mail!

Diese E-Mail zeigt nur, dass die Website-Administratoren mit den Informationen, die Sie ihnen anvertrauen, nicht sehr vorsichtig sind. Dies ist ein guter Grund, ihnen keine weiteren Daten anzuvertrauen.

14
Thomas Pornin

Verwenden Sie für jede Site ein anderes Passwort. Auf diese Weise, wenn das Passwort kompromittiert wird (sei es durch Snooping bei Klartext-E-Mail-Übertragungen oder sogar wenn eine Datenbank ordnungsgemäß funktioniert gehashte/gesalzene Passwörter sind geknackt), der Angreifer kann nur auf dieser einen Site auf Ihr Konto zugreifen und nicht auf allen Sites, auf denen Sie ähnliche Kontoanmeldeinformationen haben.

... und so müssen Sie sich nicht an zig Passwörter erinnern: Stanfords PwdHash ist eine praktische Browser-Erweiterung, die automatisch funktioniert generiert eindeutige Kennwörter, indem ein allgemeines Kennwort gehasht wird, das Sie mit der Domain der Site eingeben.

9
smokris

Senden Sie ihnen eine E-Mail mit der Bitte, aus ihrer Datenbank entfernt zu werden.

Geben Sie ihnen keine weiteren Informationen über Sie

Stellen Sie sicher, dass dieses Passwort nirgendwo verwendet wird.

3
woliveirajr

Aus diesem Grund wird empfohlen, auf jeder Site ein anderes Passwort zu verwenden.

Versuchen Sie, sie per E-Mail zu senden, um Ihr Konto zu löschen. Andernfalls verwenden Sie diese Site nicht und verwenden/generieren Sie wirklich ein anderes Passwort (und ein langes!) Auf jeder Site, bei der Sie sich registrieren. Sie wissen nie, welche einfache Passwörter in ihrer Datenbank speichern

3
genesis

Ich würde sagen, da das Passwort für die ganze Welt sichtbar ist, aktualisieren Sie es einfach auf ein Passwort, das Sie nirgendwo anders verwenden. Somit kann niemand Ihre Informationen auf einer anderen Site mit dem Passwort auf dieser Site hacken. Ein Beispiel könnte sein, wenn Ihre E-Mail Ihr Login ist und Sie das Passwort auf dieser Site als Passwort für Ihre E-Mail verwenden.

Ansonsten, wenn Sie der Website helfen möchten, Passwörter effektiv zu speichern, und ihnen den Link dieses Stackoverflow-Threads senden möchten.

2
pal4life

Wenn Passwörter im Klartext übertragen werden, handelt es sich um eine "Sicherheitslücke".

Der erste Schritt besteht darin, Beweise zu finden, indem Sie beispielsweise Wireshark ausführen, um die Passwörter zu erfassen, die auf dem Draht gesendet werden.

Der zweite Schritt besteht darin, das Unternehmen zu kontaktieren, z. B. indem Sie eine E-Mail an "[email protected]" senden. Die E-Mail-Adressen "Secure @" und "Security @" sind die E-Mail-Boxen, die Unternehmen einrichten, wenn sie von solchen Entdeckungen betroffen sind.

Speichern Sie die Antworten, die Sie vom Unternehmen erhalten.

Wenn sich herausstellt, dass das Unternehmen das Problem nicht beheben wird, senden Sie eine Nachricht an die Mailingliste " vollständige Offenlegung ". Beschreiben Sie das Problem kurz, zeigen Sie den Beweis und zeigen Sie die Antwort.

Lesen Sie die E-Mail-Beiträge in der Liste mit den vollständigen Angaben, um zu sehen, wie andere Personen dies getan haben.

1
  1. Verwenden Sie kein System, von dem Sie nachweisen können, dass es unsicher ist, wenn Sie es benötigen, um sicher zu sein.
  2. Wenden Sie sich an das Unternehmen/den Eigentümer, das für die Entwicklung des Systems verantwortlich ist, und teilen Sie Ihren Beweis für dessen Unsicherheit mit.
  3. Wenn Sie von der Firma/dem Eigentümer eine ungünstige Antwort erhalten, die darauf hinausläuft, dass sie nicht bereit sind, das System zu Ihrer Zufriedenheit zu korrigieren, wechseln Sie zu einem anderen System.
1
Bernard

Was sind Best Practices im Umgang mit diesem System:

Verwenden Sie dieses System nicht mit vertraulichen Informationen. Überlegen Sie, welche Probleme für Sie auftreten würden, wenn Daten verloren gehen oder wenn jemand beginnt, das System mit Ihrem Login zu verwenden. Wenn es sich um eine No-Go-Situation handelt, beenden Sie die Verwendung des Systems.

[Best Practices im Umgang] und die Eigentümer dieses Systems:

Registrieren Sie Ihre Unzufriedenheit per E-Mail und anderen Kontaktmöglichkeiten: Kundensupport, Telefonanruf, Kontakt-E-Mails, Foruns, Blogs, Wikis ...

während Sie das Risiko für sich selbst durch die Verwendung des Systems minimieren:

wenn Sie der Meinung sind, dass Sie dieses System trotzdem verwenden werden, verwenden Sie nicht dasselbe Kennwort für dieses System und jedes andere System. Wenn Sie Ihre E-Mail nicht als Login verwenden können, noch besser.

oder Berichterstattung über die damit verbundenen Probleme?

die gleichen anderen Antworten haben Ihnen gesagt: Registrieren Sie alle Ihre Beschwerden, verwenden Sie sie nicht mehr.

1
woliveirajr

Das Ändern des Passworts wurde bereits vorgeschlagen. Ändern Sie es in "Speichern Sie keine Passwörter im Klartext, Sie Lamers!" Wenn Sie sie dann per E-Mail bitten, Ihr Konto zu entfernen und alle persönlichen Daten zu löschen, wird Ihre Nachricht möglicherweise besser gehört.

Abgesehen davon sind Passwörter im Klartext kein so großes Problem, da selbst gehashte Passwortdatenbanken heutzutage in angemessener Zeit von Bruteforce angegriffen werden können, insbesondere wenn die gehashten Daten kein Salz enthalten .

0
syneticon-dj