La compañía de servicios públicos no tiene contraseñas de hash en la base de datos

11

Tuve que usar la aplicación de información de la cuenta en línea de mi compañía de servicios públicos y olvidé la contraseña. Pasando por los pasos para restablecer la contraseña, se me envió la contraseña por correo electrónico. Encontré esta compañía bastante insegura y contacté con mi preocupación, básicamente dijeron que no sienten que las contraseñas de hash sean necesarias ya que nadie más que yo conoce mi cuenta y mi nombre de usuario. Tratar de explicar las implicaciones de no hash las contraseñas no llevó a ninguna parte, no creo que comprendan el problema.

¿Con quién debo comunicarme para obligarlos a almacenar las contraseñas correctamente?

  

Esta pregunta fue Cuestión de la semana sobre seguridad de TI .
  Lea el 27 de enero de 2012 entrada de blog para obtener más detalles o envíe su propia Pregunta de la semana.

    
pregunta camokatu 20.01.2012 - 20:01
fuente

5 respuestas

4

En los Estados Unidos, cualquier sistema que maneje un cierto volumen de detalles de los métodos de pago del cliente (números de tarjetas de crédito / débito, números de cuentas bancarias, etc.) debe ser compatible con PCI para operar legalmente. Si el sistema que describe tiene sus datos bancarios y de crédito y le permite verlos a través de esa interfaz web, es posible que tenga una causa válida para informarlos por incumplimiento.

Alternativamente, si el sitio web almacena ciertos detalles o una combinación de detalles relacionados con su identidad personal, es posible que se les exija cumplir con otras regulaciones relacionadas con el almacenamiento de información de identificación personal (PII). En algunos casos, incluso solo su nombre y apellido juntos pueden considerarse PII. (Ejemplo: el nombre "John Smith" almacenado por separado de cualquier otro detalle personal no es PII, pero "Joachim Schlichenmeier" *).

No conozco personalmente los procedimientos para informar tales violaciones a cualquier entidad que sea capaz de actuar sobre ellas, por lo que le sugiero que consulte con un abogado. Por supuesto, tendrá un caso mucho mejor si, en algún momento, está sujeto al robo de identidad y , la causa raíz puede atribuirse a las malas prácticas de su empresa de servicios públicos.

Sin embargo, más allá de eso, te sugiero que sigas las recomendaciones que otros han publicado aquí. Utilice contraseñas largas y complejas para todos los sitios web & aplicaciones, y no reutilizar las contraseñas en ningún sitio web & aplicaciones Además, limite la información que proporcione a estos sitios web y amp; solo aplicaciones que sean absolutamente necesarias para que cumplan con su propósito.

Si realmente no hay necesidad de que el sitio almacene permanentemente los datos de su tarjeta de crédito, deje sin marcar la pequeña casilla "recuerde esto". En especial, sigue esto para los lugares que sabes no son confiables, como tu compañía de servicios públicos. Si puede realizar pagos por teléfono o por correo postal, sugeriría que elimine toda su información de pago de su perfil en el sitio web (si está disponible) y cambie a uno de los métodos de la vieja escuela.

* Nota: el nombre "Joachim Schlichenmeier" pretende ser ficticio. Cualquier relación con una persona real, viva o muerta, es pura coincidencia.

    
respondido por el Iszi 21.01.2012 - 10:38
fuente
5

Este problema tiene dos caras:

  • Implicaciones de seguridad para ti

Básicamente, la única mitigación que funciona es usar una contraseña diferente en cada cuenta que poseas (y luego, usa un administrador de contraseñas como KeePass, 1Password, etc. para almacenarlas)

  • Para la empresa de servicios públicos

Las contraseñas de hash añaden seguridad. Desafortunadamente, también agrega costos: para implementarlo, para probar, etc. El procedimiento de recuperación de la contraseña cambiará, etc., etc., etc.

Básicamente, debe ser un buen vendedor para explicarles sus riesgos y mostrarles que las pérdidas potenciales (reputación, etc.) son peores que el costo del hashing, si es que realmente lo es.

Entonces, para hacer eso, debes ponerte en contacto con el CISO (o CIO o CTO), y luego, después de convencerlo :) - acércate a los que pagarán el dinero para esto.

    
respondido por el wizzard0 20.01.2012 - 20:26
fuente
3

¿Enviarlo a infractores de texto sin formato ?

¿Cambiar a otra empresa de servicios públicos?

¿Pide a sus políticos locales que aprueben leyes sobre que las empresas que no usan hashes seguros (por ejemplo, bcrypt o al menos hash con sal) en sus datos de contraseña son responsables de los daños por robo de identidad de cualquier compromiso de sus sistemas?

El hecho es que, como usuario final, no puede asumir que los sitios manejen sus contraseñas correctamente y no intentarán usarlo maliciosamente , por lo que nunca debe reutilizar las contraseñas en sistemas que no administra personalmente. No hay forma de saber que sus datos se manejan de manera segura sin trabajar allí o hacer algún tipo de piratería ilegal (no se recomienda a menos que le den un permiso explícito para intentar comprometer sus sistemas), incluso cuando no son lo suficientemente tontos como para enviarle su contraseña. en texto plano.

    
respondido por el dr jimbob 21.01.2012 - 00:58
fuente
2

Contactar con el marketing. Dígales que usted filtrará la información y que tan seriamente toman sus obligaciones.

Por cierto: ¿Cuál es el nombre de la empresa? Si no creen que sea un problema, deberíamos hablarlo abiertamente. :)

La mayoría de los clientes no conocerán los problemas de seguridad, y usarán su contraseña no solo allí, sino también en muchos otros lugares. No solo deberían pegarlo, sino también sal.

    
respondido por el user unknown 22.01.2012 - 12:37
fuente
2

Sugiero Divulgación responsable . Póngase en contacto con la empresa y ofrezca mantener la vulnerabilidad en silencio durante un tiempo limitado, dándoles la oportunidad de solucionarlo.

Mientras tanto, asegúrese de que no está utilizando la contraseña comprometida en ningún otro lugar, asegúrese de que no tenga información valiosa almacenada en sus sistemas y, si puede permitírselo, cancele su cuenta.

    
respondido por el tdammers 22.01.2012 - 15:12
fuente

Lea otras preguntas en las etiquetas