El host de correo web conoce mi contraseña

Navega tus respuestas
23

Olvidé la contraseña de una cuenta de correo web y no tenían un proceso de recuperación de contraseña automatizado. Así que tuve que chatear con su apoyo y me hicieron algunas preguntas de verificación y luego procedieron a decirme mi contraseña.

Si saben que mi contraseña, ¿no significa esto entre dos cosas?

Las contraseñas se almacenan en texto claro y solo se pueden buscar o tienen algún tipo de hash bidireccional y pueden descifrar la contraseña. ¿De qué otra forma podrían haber sabido cuál era mi contraseña?

Este es un gran ISP nacional y me hace sentir muy incómodo saber que pueden buscar mi contraseña cuando lo deseen. Alguien puede confirmar que este es un gran problema de seguridad y que no deberían estar haciendo esto.

Gracias

    
pregunta Mike 15.11.2012 - 04:38
fuente

3 respuestas

41

CAMBIAR SU CONTRASEÑA se ha comprometido.

Informe de manera educada a este proveedor de servicios que se trata de una vulnerabilidad muy grave. Las contraseñas deben restablecerse y nunca deben almacenarse en un formato recuperable . Además, este es el tipo de vulnerabilidad inexcusable, use otro servicio lo antes posible. Dígales que ya no está utilizando su servicio por motivos de seguridad muy serios. Si cometieron este error, solo piense en los otros problemas de seguridad que se están pudriendo.

    
respondido por el rook 15.11.2012 - 04:44
fuente
18

Definitivamente no es bueno. Además de la limitación de daños (cambiar sus contraseñas si usa la misma contraseña en otros lugares, lo que todos sabemos es una mala idea pero aún sucede con demasiada frecuencia), y al buscar proveedores alternativos, le sugiero que los nombre y los avergüence, aquí y en delincuentes de texto sin formato . En realidad, el hecho de que un humano pueda buscar esto es en muchos aspectos incluso peor que el muy común "que el servidor podría tener y envíame un correo electrónico ".

    
respondido por el Marc Gravell 15.11.2012 - 08:53
fuente
7

Esto no es una buena práctica, pero desafortunadamente es común con muchos proveedores grandes. Debe cuestionar sus prácticas y procedimientos de seguridad. Si no le proporcionan una cantidad suficiente de información o no están dispuestos a satisfacer sus necesidades de seguridad, entonces debe cambiar de proveedor.

Algunas preguntas que podrías hacer:

  • ¿Cómo se asegura la información personal y confidencial? es decir. contraseñas
  • ¿Cómo pudo un miembro del personal ver mi contraseña en texto simple?
  • ¿Por qué no hay una función de restablecimiento de contraseña para las cuentas de correo electrónico?
respondido por el Hammo 15.11.2012 - 05:00
fuente

Lea otras preguntas en las etiquetas

¿Por qué recibo HTTP GET para un dominio que no tengo? ¿Java es seguro para el escritorio? [duplicar]