Soru:
Bir bilgi sahibinin bir kullanıcıya şifresini e-posta ile göndermesi kötü bir fikir mi?
Steve Melnikoff
2011-07-03 21:42:08 UTC
view on stackexchange narkive permalink

Kaydolduğum birkaç web sitesi, benim tarafımdan belirli bir süre işlem yapılmadığında, bana hâlâ kayıtlı olduğumu hatırlatmak için bir e-posta gönderdi. Her durumda, o e-postada şifrem var.

Bu kötü bir fikir mi?

Düşüncelerim şu, evet, öyle, Şu gerekçeyle:

  1. Parolamı bana gönderebilirlerse, bu parolamı şifresiz olarak sakladıkları anlamına mı gelir?
  2. Böyle e-postalar özellikle etkin olmadığım için gönderilmişse, bu e-posta hesabını artık kullanmıyorum, bu da son kullandığımdan beri ele geçirilmiş olabileceği anlamına geliyor.
  3. Kullanıcılar aynı parolaları birden çok site. E-posta doğası gereği güvenli değilse, bir siteden bir şifreyi bu şekilde açığa çıkarmak potansiyel olarak kullanıcının diğer sitelerdeki hesaplarını tehlikeye atabilir.
İlgili: http://www.troyhunt.com/2012/07/lessons-in-website-security-anti.html
Ayrıca ilgili: http://security.stackexchange.com/questions/17979/is-sending-password-to-user-email-secure
Önceki bir işverende, her yıl bir çevrimiçi internet güvenliği kursuna katılmak zorunda kaldık. Giriş yapma ve kursa katılma hatırlatıcısı şifrelenmemiş bir e-posta ile geldi ve hem kullanıcı adını hem de şifreyi düz metin olarak içeriyordu.
Dört yanıtlar:
Hendrik Brummermann
2011-07-03 22:25:35 UTC
view on stackexchange narkive permalink
  1. Ya düz metin olarak saklıyorlar (muhtemelen) ya da tersine çevrilebilir bir şifreleme kullanıyorlar. Dolayısıyla, bir güvenlik ihlali durumunda şifre risk altındadır.

  2. Evet ve daha da kötüsü: Hotmail gibi bazı e-posta sağlayıcıları, etkin olmayan e-posta hesaplarını siler ve diğer kişilerin kaydolmasına izin verir o. Twitter'ın üst yönetimi eski bir Hotmail hesabını yeniden kaydederek başarılı bir şekilde saldırıya uğradı.

  3. Evet, doğru. Söz konusu twitter saldırısında bu postalardan birinde ortaya çıkan yeniden kullanılan bir şifre önemli rol oynadı.

Neden parolanın şifresiz olarak saklandığını düşünüyorsunuz? Kötü güvenlik uygulamaları kullandıkları için mi? OP'nin endişesine dayanan gerçek bir saldırıya güzel bir referans.
Merhaba @this.josh, şifreyi size e-posta ile göndermeyi çok az önemsiyorlarsa, geri dönüşümlü şifreleme kullanma zahmetine girmeyecekler, sadece düz metin olarak saklayacaklar.
E-posta sağlayıcılarının kayıt tarihi de dahil olmak üzere adresler hakkında bilgi sağlayabilecekleri bir araca sahip olmak faydalı olacağı için "parmak" kavramının yoldan çıkması çok kötü.Tüm sağlayıcılar bilgi vermek istemez veya tedarikçilerin yanlış bilgi sunmasını engellemez, ancak parola sıfırlama hizmetleri gibi şeyler hesaptan sonra kaydedilen e-postaları göndermeyi reddedebilirse e-posta adreslerinin geri dönüştürülmesine izin verme riski azaltılabilir.yaratıldı.
user185
2011-07-03 23:24:06 UTC
view on stackexchange narkive permalink

Hendrik çok sayıda sorun sağladı. Ek olarak, hizmet operatörleri postayı hatırlatma botlarının MUA'sından yerel MTA'larına göndermek için TLS ile SMTP kullansalar bile, hiçbir garantiye ve içeriğin şifrelenmiş olarak kalacağını bilmenin hiçbir yolu yoktur. MDA ve MUA'nıza giden yol. Başka bir deyişle, postayı doğru bir şekilde alsanız bile şifrenizi herhangi birine gösteriyor olabilirler.

[Bir kenara, postacı hala bu tehlikeli süreci takip eden yüksek profilli bir posta listesi yöneticisidir. Ve OWASP posta listelerinde hangi posta listesi yöneticisinin kullanıldığını tahmin edin? :-(]

[Hendrik kıkırdamaktan vazgeçmeye çalışır ...]
ek olarak ... Gönderenler, güvenlikle ilgili olmayan bir olaya yanıt olarak güvenlik açısından kritik bilgiler gönderiyor. İş riski için güvenlik riski ticareti yapıyorlar (kullanıcıları kaybetmek).
user53510
2014-08-14 18:36:34 UTC
view on stackexchange narkive permalink

Özet olarak, diğer katılımcıların belirttiği diğer tüm geçerli nedenlerden dolayı (ör. "düz metin olarak saklamak", "ele geçirme", "hesap ele geçirme ve tekrar oynatma" vb.) elbette kötü bir fikir.

Bununla birlikte, bu gibi BT güvenliğiyle ilgili sorularda neredeyse her zaman olduğu gibi, gündeme getirmek istediğim sorun, "'neye' kıyasla?" Alternatif bir yöntem ise, ele geçirilmeye karşı daha az savunmasızsa (tercihen bant dışı, ör. ". Şifrenizi şifrelenmiş bir arşive sıkıştırın, size e-posta ile gönderin ve ardından sizi sesli olarak arayarak şifreyi size dikte edin" ) yöntemi mevcutsa, o zaman açıkça kullanılmalıdır.

Peki ya böyle bir alternatif kanal yoksa veya pratikse?

Bir durum oluşturabilirim ki eğer şifre bir son kullanıcı muhtemelen "şifre" veya "123456" 'yı seçecektir; bu, karmaşık bir parolanın o kullanıcıya e-postayla gönderilmesinden çok daha savunmasızdır ve bunu yalnızca sınırlı bir süre için kullanma talimatları ve ardından eşit derecede karmaşık bir şey (veya bunu KeePass, LastPass veya Password Safe gibi bir şifre yöneticisinde saklamak ve ardından düz metin sürümünü silmek)?

Adınız "Snowden" veya "Assange" değilse, göreceli şans tüm iletişimlerinizin sürekli izleneceğini ve bu nedenle TCP / IP veri akışının yakalanma ve dolayısıyla sizi r şifre ele geçirildi - aslında çok düşük. Oysa zayıf bir şifrenin sonunda saldırıya uğrama riski oldukça yüksektir.

Yani her şey bir risk analizi durumuna bağlı. Yüksek tehdit içeren bir ortamdaysanız (örneğin, bir bankaysanız ve yüksek gelirli müşterilere hesap kimlik bilgilerini iletmeniz gerekiyorsa), o zaman, evet, ele geçirilebilecek HERHANGİ bir şifre iletişimi şekli muhtemelen uygun değildir. Öte yandan, Peoria, Ohio, Ladies 'Auxilliary Floral Arrangement Society çevrimiçi tartışma forumunu yönetiyorsanız ve üyelere "En Son Çiçek Gücü Kombinasyonlarınızı Yayınlayın" forumuna şifre korumalı erişim vermeniz gerekiyorsa, o zaman Başarılı bir parola müdahalesinin ve sonraki çevrimiçi saldırının sonuçları, muhtemelen çok daha az olacaktır ve kimlik bilgilerinin iletişiminde belki de daha yüksek bir risk seviyesi kabul edilebilir.

Site şifreyi asla ilk etapta olduğu gibi güvenli olmayan bir şekilde göndermemelidir. Gerekirse, kullanıcının sadece kullanıcının isteği üzerine oturum açmasına ve şifreyi değiştirmesine ve kullanımdan sonra veya kısa bir süre sonra sona ermesine izin verecek bir OTP sunmalıdır. Parola, şifrelenmemeli, hashing uygulanmalıdır, böylece onu tersine çevirip parolayı hesaplamak mümkün olmaz. "Çiçek aranjmanı cemiyetinizin" şifresini almak, örneğin bankada kullandığınız şifreyle aynı ise faydalı olabilir.
Rohan Chaubey
2014-08-14 18:17:44 UTC
view on stackexchange narkive permalink

Evet, şifrelerin postalanması, şifrelerin çalınmasına neden olabilir. Ancak diğer yandan, iletişimin uygun şifreleme kullanılarak gerçekleşmesi koşuluyla, o siteyi unutmaları durumunda hesap sahiplerine de yardımcı olabilir.

Posta için sürekli aktarım şifrelemesi sağlamak mümkün değildir, bu nedenle bu asla iyi bir fikir değildir.
Bir kullanıcı siteyi 'unutmuşsa', bir şifre sıfırlama seçeneği sunun. Bunu yapmak, kullanıcının parolasını standart parola protokollerini bozacak şekilde saklamanıza gerek olmadığı anlamına gelir.


Bu Soru-Cevap, otomatik olarak İngilizce dilinden çevrilmiştir.Orijinal içerik, dağıtıldığı cc by-sa 3.0 lisansı için teşekkür ettiğimiz stackexchange'ta mevcuttur.
Loading...