Mi ISP muestra mi contraseña de WiFi en su sitio público en texto sin formato. ¿Deberia estar preocupado?

9

Hace poco noté que, al iniciar sesión en un sitio público y externo de mis ISP (Spectrum) al que se puede acceder desde fuera de mi red, puedo ver la contraseña WPA2 de mi red doméstica en texto sin formato.

Esto claramente significa que al menos no son contraseñas de hash. Tengo una contraseña única, generada aleatoriamente para mi wifi, por lo que si la base de datos WiFi de sus clientes está expuesta, el riesgo para mí es limitado, pero obviamente lo mismo no es cierto para la mayoría.

¿Debería preocuparme por esto? ¿O hay algo acerca de las contraseñas de wifi del enrutador que hace que sea correcto no hash la contraseña?

Si hay un problema aquí, ¿cómo puedo presionar a Spectrum para que proteja sus contraseñas correctamente?

    
pregunta David Grinberg 13.12.2017 - 21:47
fuente

4 respuestas

9

Lo que me sorprende aquí no es el hecho de que las contraseñas se muestren en texto sin formato, sino que su ISP guarda una copia de su contraseña wifi. Esto no es algo que deban hacer para proporcionarle internet. Es el enrutador el que se ocupa de la conexión wifi, por lo que solo el enrutador necesita conocer la contraseña.

Entonces, ¿por qué han elegido hacerlo de esta manera? Supongo que es como una conveniencia para sus clientes, lo que les permite recordarles su contraseña wifi de una manera sencilla. Hashing la contraseña anularía todo el propósito de almacenarla, ya que una contraseña hash no se puede volver a convertir en texto sin formato.

Entonces, ¿qué hacer? No espere poder cambiar la política de su ISP. A lo sumo, puede molestar a alguien en el servicio al cliente. En su lugar, optaría por usar una contraseña fuerte y única. Si eso no es lo suficientemente bueno para usted, puede comprar su propio enrutador wifi para usarlo, ya sea como su único enrutador si funciona o como un segundo conectado a su puerta de enlace. (Estoy convencido de que aquí están recogiendo automáticamente las contraseñas de los enrutadores, y que usted no puede simplemente mentirles y darles una contraseña falsa).

Y como sugiere entrop-x , también puedes simplemente cambiar de ISP.

    
respondido por el Anders 14.12.2017 - 10:33
fuente
2

Felicitaciones por usar contraseñas aleatorias y no usar el mismo valor para todo.

En el gran esquema de las cosas, como han dicho otros, no es un gran problema. Es realmente una cosa de proximidad. Ahora, dicho esto, opero en un nivel un tanto paranoico, y me preocuparía, aquí está la razón:

Parece que tiene un dispositivo de puerta de enlace proporcionado y provisto por su ISP. Me he encontrado con Comcast ("xFinity"). Siempre solicito un E-MTA de ellos. Siempre están sorprendidos de que no quiero su dispositivo de puerta de enlace (se han movido varias veces ...).

Jugué un poco con su dispositivo, porque me quedé atascado por un tiempo. Cuando estaban "instalando" el equipo, hice el tonto con ellos para ver qué pasaba. El técnico preguntó cuál debería ser la clave y la escribió en la orden de trabajo. Luego se nos mostró que parte de su plataforma "X1" se conecta, permite hablar con el control remoto del televisor y preguntar '¿Cuál es mi contraseña de WiFi?', Y ¡voilá! En ese momento, habrían visto el texto sin formato de todos modos, incluso si lo hubiera ingresado yo mismo.

Lo que quiero decir con todo esto es que considero que es un nivel justo de exposición. Hay una multitud de puntos de acceso para obtener la clave y no existen estándares de cumplimiento para almacenarlos (como PCI para tarjetas de crédito, HIPAA para registros médicos). Dado que no hay estándares de cumplimiento, mientras que "provocaría algunas cejas", no hay nada específico que los "obligue" a cifrar, tokenizar u ofuscar los valores, ya sea en reposo (base de datos) o en tránsito ( entre sistemas, al televisor, a su navegador).

Ya sabemos que existe una relación entre su dirección y la clave de Wifi, por lo que se realiza el mapeo. Tal vez sea tan fácil como SELECT * FROM CUSTOMER_WIFI . Ahora, alguien solo necesita subir al auto. ¿Crees que alguien en tu ISP vive cerca? ¿Tal vez algunos empleados que quieran divertirse con la tecnología el viernes por la noche?

Sólo un poco de alimento para el pensamiento.

    
respondido por el Brian 14.12.2017 - 04:54
fuente
2
  

¿Debería preocuparme por esto?

Sí. Su red local debería ser lo más segura posible, razonablemente. Más importante aún, su ISP debe ser responsable de la conexión entre su red local (que es su responsabilidad e incluye el acceso a sus dispositivos), e Internet (que es más o menos el Salvaje Oeste Salvaje).

Para todas las demás respuestas con respecto a "es solo un problema para las personas cercanas", una vez que se filtra en Internet, todas las personas que ya están lo suficientemente cerca, y sus aburridos hijos adolescentes y preadolescentes, Ser capaz de encontrar esa contraseña wifi.

  

¿O hay algo acerca de las contraseñas de wifi del enrutador que hace que sea correcto no codificar la contraseña?

Su pregunta se basa en suposiciones de base incorrectas. Un sitio web debería utilizar un algoritmo de hashing de contraseñas si va a almacenar contraseñas con las que autenticar a sus usuarios; es decir, con lo que sea que el usuario inicie sesión con.

En su caso, el ISP está almacenando algo con lo que NO está iniciando sesión en SU sitio web; La pregunta no es la forma en que lo almacenan, la pregunta es cómo evitar que lo almacenen por completo, ya que no es necesario que lo tengan.

Tenga en cuenta que esto se cumple tres veces para una contraseña de wifi: a diferencia de las buenas contraseñas de cifrado de almacenamiento, donde si pierde la contraseña, perderá sus datos, si pierde su contraseña de wifi, simplemente la restablecerá en el punto de acceso / enrutador y Sus dispositivos, que tienen el beneficio adicional de hacer que todos los demás no puedan ingresar (si lo hacen bien).

  

Si hay un problema aquí, ¿cómo puedo presionar a Spectrum para que proteja sus contraseñas correctamente?

¿Cómo presionas el espectro? Dirígete a otro ISP que no guarda tus contraseñas de wifi e informa a Spectrum por qué te vas.

¿Cómo resuelves el problema de tener una contraseña que no deberían? Usted compra su propio punto de acceso , o punto de acceso + firewall , o enrutador wifi doméstico /" firewall ", cambia la contraseña del Spectrum wifi a algo largo y aleatorio, luego desactiva el Spectrum wifi por completo, usando solo tu propio dispositivo, idealmente detrás de tu propio firewall para protegerte de Spectrum.

    
respondido por el Anti-weakpasswords 11.01.2018 - 06:40
fuente
1

Probablemente no sea tan importante que tengan tu contraseña de wifi.

Las contraseñas de Wi-Fi solo son útiles para las personas cercanas, por lo que incluso si están comprometidas con la base de datos, no se espera que se puedan explotar de manera conveniente, es decir, si no se espera que sean valiosas.

Si tiene un SSID de red único o su dirección física está almacenada con él, existe la posibilidad de que alguien local lo ataque en el caso de un volcado publicado, pero es posible que haya suficientes redes seguras o "password1" en su vecindario. que nadie se molestaría.

Más preocupante en una infracción es que es muy probable que su cuenta con Spectrum esté vinculada a otros datos personales como la información de la tarjeta de crédito.

Sin embargo, es preocupante que hayan adquirido tu contraseña de wifi.

¿Cómo llegó esta contraseña a estar en su base de datos? Si no se lo entregó a ellos, su enrutador lo hizo, lo que significa que está informando sobre usted y puede significar que tienen acceso remoto a él. Si lo hacen, es el inicio de sesión que se publica lo que es preocupante porque podría ser explotado por cualquier persona en cualquier lugar.

    
respondido por el user123931 14.12.2017 - 00:52
fuente

Lea otras preguntas en las etiquetas