it-swarm-eu.dev

Devo fidarmi di un sito Web che si interrompe quando utilizzo una password complessa?

Un sito web "si è rotto" dopo che ho cambiato la mia password in qualcosa del tipo "NÌÿÖÏï £ Ø ¥ üQ ¢ ¨¼Ü9¨ÝIÇÅbÍm". Non sono stato in grado di accedere e il servizio clienti ha eliminato il mio account e mi ha permesso di crearne uno nuovo. Ciò implica difetti di sicurezza nel codice del sito? Dovrei preoccuparmi delle mie credenziali?

Ovviamente sto usando un gestore di password e il sito web mi permette solo di prenotare posti in un cinema, quindi le credenziali non hanno molto valore.

31
Christian

La tua descrizione è che il sito non riesce a convalidare correttamente il loro input. Ciò (debolmente) implica un profondo difetto nel loro codice. Se il tuo input avesse semplicemente soffocato la loro routine che chiama PBKDF2() , allora l'hash della tua password potrebbe non essere riproducibile; ma mi aspetto che una semplice reimpostazione della password avrebbe dovuto essere adeguata per risolvere il problema. L'eliminazione del tuo account potrebbe indicare che il record del tuo account era corrotto; tuttavia, l'eliminazione degli account potrebbe essere semplicemente la loro risposta a chiunque abbia un problema con la password a causa di input imprevisti dell'utente. Potrebbero anche provare a contrastare attivamente gli hacker con questa risposta.

Inoltre, imperfetto non significa necessariamente che il loro sito sia vulnerabile. Il codice difettoso dovrebbe essere sfruttabile e tu non ne hai fornito la prova. Tali prove potrebbero includere comportamenti irregolari o valori inspiegabilmente modificati.

Se decidi di premere ulteriormente, magari testando i singoli caratteri della password per isolare il glifo che ha causato il blocco del tuo account sul tuo sito, sappi che sarebbero nei loro diritti considerare quei tentativi come un attacco di hacking. Chiedi l'autorizzazione del proprietario del sito prima di sperimentare.

Nota che se invece di utilizzare caratteri con set di bit elevato, costruisci la tua password da 16 crittograficamente casuali, a bit alto non impostato, standard, ordinario, stampabile ASCII caratteri alfanumerici, la differenza pratica con la sicurezza della tua password sarà irrilevante.

28
John Deters

Molto probabilmente significa che (come la maggior parte dei programmi scritti dagli americani) non è mai stato testato con caratteri Unicode e hai esposto un bug nel loro codice. Non è una priorità per loro da risolvere, quindi invece hanno semplicemente eluso il problema dicendoti di non farlo.

È strano che il servizio clienti abbia eliminato e ricreato il tuo account invece di reimpostare la password, ma non è incredibilmente preoccupante. Potrebbe essere che siano scarsamente addestrati per affrontare questa situazione e questo è solo l'approccio che hanno adottato. Potrebbe anche essere che il bug sia presente anche nella funzione di modifica della password per qualche motivo (forse memorizzano qualcosa di crittografato con la tua password come chiave e devono decrittografarlo e poi ricrittografarlo con la nuova password?).

Un sito con questo tipo di problemi di ingegneria e test probabilmente avrà anche un difetto di sicurezza o due, ma questa è una correlazione statistica, non qualcosa direttamente implicato dal bug osservato.

L'elaborazione della password dovrebbe essere un modulo che non produce o verifica più di un hash. Gli unici modi in cui una password complessa non può essere reinserita correttamente sono due parti separate di codice che si suppone facciano la stessa cosa ma non lo fanno, o peggio, le password vengono archiviate in testo semplice.

Maggiore è l'elaborazione o la memorizzazione delle password in chiaro, più il sito è suscettibile di attacchi di estrazione di password o attacchi generali al sistema.

Esiste un xkcd comic sull'elaborazione della password che supera il suo ambito immediato.

E ovviamente questo ricorda anche tavolini Bobby .

Riassumendo entrambi i fumetti: disinfetta l'input prima di memorizzarlo ovunque e non elaborare in modo eccessivo le password.

Mi dispiace se i miei riferimenti sono tutti di Randall Munroe ma le sue spiegazioni sono così grafiche ...

3
user130351

È probabilmente un bug. Una regola empirica non è mai fidarsi di alcun sito Web di terzi in quanto tutto è possibile. Non dare per scontato che nulla sia impossibile, ma certamente usa una password complessa ma con ASCII.

1
avi