¿Por qué enviar un sitio web a los infractores de texto simple?

Comenzaré por citar sus Preguntas frecuentes también:

  

¿No le preocupa que los piratas informáticos utilicen su sitio para encontrar objetivos?

     

Sí, pero menos preocupado de que esta información permanezca en secreto y confíe en la seguridad a través de la oscuridad.

Que es una declaración no válida por la sencilla razón de que esos sitios no confían de ninguna manera en la seguridad a través de la oscuridad. Su seguridad no es más fuerte mientras este secreto se mantenga en secreto. Es una falacia popular el poner en evidencia la Seguridad a través de la Oscuridad en cada segundo debate de seguridad, pero lo único que cuenta es hacer una evaluación de riesgos. Y sí, la oscuridad adicional a menudo ayudará, siempre y cuando no estés confiando en ello.

Pero volviendo al tema:

• ¿Qué ventajas tiene presentarla a los infractores de texto simple?

  Es más probable que los sitios web corrijan sus configuraciones y que un número insignificante de usuarios no pueda reutilizar su contraseña. Además, algunos han afirmado que un registro con marca de tiempo de su uso sería importante en los tribunales, pero un registro con marca de tiempo no debe ser legible públicamente (un correo en los servidores centrales, no administrados de forma privada, también funcionará).

• ¿Qué desventajas existen al enviarlo a los infractores de texto simple?

  Los sitios web que almacenan contraseñas en texto plano se convierten en objetivos más populares. No solo porque almacenan contraseñas en texto simple, sino que es más importante porque es una indicación de sistemas inseguros antiguos.

Responda a tu pregunta: no te estás perdiendo nada y tienes toda la razón de que esta es una llamada importante. Personalmente, le recomendaría a cualquiera que NO siga las pautas de envío de plaintextoffenders.com y en todo momento primero contacte usted mismo con el sitio web en cuestión. Solo si nada cambia o si sus respuestas son mediocres, contáctelos nuevamente con el mensaje de que ha enviado su sitio web a los infractores de texto sin formato.

Para citar sus Preguntas frecuentes :

  

¿No le preocupa que los piratas informáticos utilicen su sitio para encontrar objetivos?

     

Sí, pero menos preocupado de que esta información permanezca en secreto y confíe en la seguridad a través de la oscuridad.

Para ser más detallado: hay dos resultados posibles al enviar un sitio:

1. Lo solucionan: es más probable que suceda cuando se avergüenzan públicamente. La probabilidad de ataque también aumenta.

   Además, el hecho de ocultar los problemas de seguridad (dejarlos seguros siempre que se mantengan en secreto) en lugar de solucionarlos es generalmente considerado un antipatterno de seguridad, ya que NIST" Guide to General Server Security " indica:

     

   "La seguridad del sistema no debe depender de la confidencialidad de la implementación o de sus componentes".

2. No lo solucionan. Entonces, al menos se documenta pública y externamente.

   Para ser más específico, gracias a Chris Cirefice que lo señalaron en los comentarios más explícitamente lo que yo tenía en mente:

     

   "documentado públicamente y externamente" - con marcas de tiempo . Entonces, si una compañía de préstamos estudiantiles es hackeada y los datos bancarios de los estudiantes se publican debido a la falta de cumplimiento con las políticas gubernamentales (de EE. UU.) el Gramm-Leach-Bliley Act 1 2, los estudiantes podrían demandar a la compañía, y las marcas de tiempo de la liberación pública de incumplimiento serían una gran evidencia en la corte para su recompensa.

La pregunta parece suponer que los infractores de texto simple es el único sitio que mantiene dicha lista, en lugar de ser el que tiene el perfil público más alto de sombrero blanco.

Sin embargo, hay muchos otros sitios menos saludables que mantienen tales listas; es probable que cualquier dominio listado en Plaintext Offenders haya estado en estos otros sitios durante algún tiempo.

Lo más probable es que no le esté diciendo a los malos lo que no saben, pero puede que le esté diciendo a los propietarios del sitio algo que no saben, y ofrezca una luz de publicidad para alentarlos a actuar. / p>     

Una cosa que es importante entender es que existe una diferencia práctica entre "exposición de contraseña" y "más riesgo".

Puede decir con certeza que enviar un sitio a los infractores de texto simple da como resultado una exposición de contraseña adicional. Este hecho no está en duda.

Si resulta en un riesgo adicional, sin embargo, es más matizado. Si el sitio no hace nada al respecto, y , usted y otros usuarios continúan utilizando el sitio como si no se conociera la falla, entonces la exposición de la contraseña adicional en efecto da como resultado riesgo adicional. Si, sin embargo, conduce a cambios en el comportamiento, por ejemplo, algunos usuarios deciden no reutilizar las contraseñas que habrían reutilizado en este sitio (lo más probable) o la publicidad negativa lleva al sitio a mejorar la seguridad del sistema. , (menos probable, pero posible y una enorme reducción del riesgo si se logra), entonces la ecuación cambia a un punto entre no tan claro, a una definición y una reducción significativa del riesgo.

Por lo tanto, no es tan fácil de cortar y secar como una opción es correcta y la otra es incorrecta. El riesgo, por su propia naturaleza, incluye un componente de lo desconocido, que es la probabilidad de una eventual explotación, por lo que en última instancia, se trata de una decisión de juicio.