¿Es una mala idea para un titular de información enviar un correo electrónico a un usuario con su contraseña?

21

Un par de sitios web con los que estoy registrado tienen, después de un período de inactividad por mi parte, cada uno de ellos me envió un correo electrónico para recordarme que todavía estoy registrado. En cada caso, ese correo electrónico ha incluido mi contraseña.

¿Es una mala idea?

Mis pensamientos son que, sí, se basa en que:

  1. Si pueden enviarme mi contraseña, ¿eso implica que la están almacenando sin cifrar?
  2. Dado que los correos electrónicos como estos se enviaron específicamente debido a mi inactividad, es posible que ya no use esa cuenta de correo electrónico, lo que significa que podría haber estado comprometido desde la última vez que lo usé.
  3. Los usuarios utilizan con frecuencia las mismas contraseñas en varios sitios. Si el correo electrónico es intrínsecamente inseguro, revelar una contraseña de un sitio de esta manera podría comprometer las cuentas del usuario en otros sitios.
pregunta Steve Melnikoff 03.07.2011 - 18:42
fuente

4 respuestas

30
  1. Lo están almacenando en texto plano (probablemente) o están usando un cifrado reversible. Entonces, en caso de un compromiso, la contraseña está en riesgo.

  2. Sí, y es aún peor: algunos proveedores de correo electrónico, como Hotmail, eliminan las cuentas de correo electrónico inactivas y permiten que otras personas lo registren. La administración superior de Twitter fue atacada con éxito al volver a registrar una cuenta de Hotmail anterior .

  3. Sí, correcto. Una contraseña reutilizada, que se reveló en uno de esos correos, jugó un papel importante en el mencionado ataque de Twitter.

respondido por el Hendrik Brummermann 03.07.2011 - 19:25
fuente
5

Hendrik ha proporcionado un gran conjunto de problemas. Además, incluso si los operadores del servicio usan SMTP con TLS para enviar el correo del MUA de su recordatorio-bot a su MTA local, entonces no tienen ninguna garantía ni manera de saber si el contenido permanece cifrado. El camino a tu MDA y MUA. En otras palabras: podrían mostrarle a cualquier persona su contraseña, incluso si recibe el correo correctamente.

[Además, mailman es un administrador de listas de correo de alto perfil que aún sigue este proceso peligroso. ¿Y adivine qué administrador de listas de correo se usa en las listas de correo de OWASP? :-(]

    
respondido por el user185 03.07.2011 - 20:24
fuente
-1

En el resumen, por supuesto, es una mala idea, por todas las otras razones válidas (por ejemplo, "almacenarlo en texto sin formato", "intercepción", "secuestro y reproducción de la cuenta", etc.) que otros encuestados han declarado.

Sin embargo, el problema que me gustaría plantear, como ocurre casi siempre con preguntas relacionadas con la seguridad de TI, es "comparado con '¿qué'?" Si se trata de un método alternativo, menos vulnerable a la intercepción (preferiblemente, fuera de banda, por ejemplo, ".zip su contraseña en un archivo cifrado, se la enviaremos por correo electrónico y luego lo llamará por voz y le dictaremos la contraseña" ) El método está disponible, entonces obviamente debería usarse.

Pero, ¿qué sucede si no hay disponible un canal alternativo o es práctico?

Puedo argumentar que si la contraseña que un usuario final puede elegir es "password" o "123456", es mucho más vulnerable que tener una contraseña compleja enviada por correo electrónico a ese usuario, con instrucciones para usarlo solo por un tiempo limitado y luego cambiarlo a algo igualmente complejo (o almacenarlo en un administrador de contraseñas como KeePass, LastPass o Password Safe, y luego eliminar la versión de texto simple)

A menos que su nombre sea "Snowden" o "Assange", la probabilidad relativa de que todas sus comunicaciones sean monitoreadas constantemente, y por lo tanto, corre el riesgo de que se intercepte el flujo de datos TCP / IP y, por lo tanto, de que su contraseña sea interceptada - Es realmente muy bajo. Considerando que, el riesgo de que una contraseña débil sea finalmente hackeada, es bastante alto.

Así que todo se reduce a una situación de análisis de riesgo. Si se encuentra en un entorno de alto riesgo (por ejemplo, es un banco y necesita comunicar las credenciales de la cuenta a los clientes de altos ingresos), entonces, sí, CUALQUIER forma de comunicaciones de contraseña que pueden ser interceptadas, probablemente no sea apropiada. Si, por otro lado, está ejecutando el foro de discusión en línea de la Sociedad Auxiliar de Arreglo Floral Auxiliar de Mujeres de Peoria, Ohio, y debe otorgar a los miembros acceso protegido por contraseña al foro "Publique sus últimas combinaciones de Flower Power", entonces es probable que las consecuencias de una intercepción exitosa de la contraseña y un posterior ataque en línea sean mucho menos, y quizás se pueda aceptar un mayor nivel de riesgo en la comunicación de las credenciales.

    
respondido por el user53510 14.08.2014 - 15:36
fuente
-4

Sí, enviar las contraseñas por correo puede hacerlas responsables de un robo. Pero, por otro lado, también puede ser útil para los propietarios de las cuentas en caso de que se hayan olvidado de ese sitio, siempre que la comunicación se realice utilizando el cifrado adecuado.

    
respondido por el Rohan Chaubey 14.08.2014 - 15:17
fuente

Lea otras preguntas en las etiquetas