Tengo algunos dominios / sitios web, así como correos electrónicos con Bluehost. Cada vez que necesito asistencia, necesitan los últimos 4 caracteres de mi contraseña principal para la cuenta. No pueden decirme cómo almacenan la contraseña, por lo que estoy intrigado por la forma en que pueden almacenar de forma segura mi (s) contraseña (s) y aún ver los últimos 4 caracteres. ¿Ven la contraseña completa en texto plano?
Hay varias posibilidades.
Podrían estar almacenando la contraseña completa en texto simple, y solo mostrando los últimos 4 caracteres a la persona de apoyo.
Podrían estar hash de la contraseña dos veces. Una vez hashing la contraseña completa, y nuevamente con solo los últimos 4. Luego, la persona de apoyo escribe los últimos 4 para ver si coincide con el valor hash. El problema con Esto hace que sea más fácil forzar la contraseña completa. ya que los últimos 4 caracteres están en un hash separado, reduciendo la entropía.
Podrían estar encriptando la contraseña completa y almacenando los últimos 4 en Texto sin formato. Obviamente, esto hace que sea mucho más fácil forzar la fuerza bruta. contraseña si un atacante que obtiene acceso a la base de datos de contraseñas conoce los últimos 4 dígitos.
Algo más donde los últimos 4 caracteres se almacenan de alguna manera eso se puede descubrir, como el cifrado que Mike Scott menciona a continuación. Si se puede descubrir el secreto para desbloquear los 4 caracteres, esto es tan malo como el texto sin formato.
Todos los escenarios son muy malos y reducen en gran medida la seguridad del sistema. No es posible saber qué escenario están usando, pero cada uno de ellos muestra una falta de consideración por las violaciones de seguridad. Le aconsejo precaución si este es un sitio donde le importa que su cuenta sea violada.
Siempre es difícil responder a estas preguntas ya que no estamos en los secretos de Bluehost, por lo que solo podemos adivinar y hacer suposiciones.
Sin embargo, el comportamiento que describe sigue siendo posible sin almacenar ninguna contraseña de forma clara:
BlueHost aconseja reglas razonables para contraseñas seguras , por lo que probablemente emplean al menos una persona que sabe lo que está haciendo .
Suponiendo que, BlueHost puede estar usando una implementación de Shamir's Secret Sharing o variación sobre ese tema . Shamir es teóricamente seguro, por lo que no saldría de inmediato a la conclusión (como lo han hecho otras respuestas) de que cualquier esquema que haga esto es intrínsecamente menos seguro.
Por otra parte, la implementación de Shamir no es trivial, por lo que cualquiera de las otras respuestas podría aplicarse igualmente. Dado que la seguridad es, en última instancia, sobre confianza , si se siente inseguro con este esquema, le sugiero que busque otro proveedor.
No puedo decirte exactamente cómo almacenan la contraseña. Pero a partir de su descripción de su proceso, podemos demostrar que la contraseña debe almacenarse de forma insegura.
Supongo que cuando piden los últimos cuatro caracteres, realmente podrán verificar la exactitud de lo que les dijiste (en otras palabras, no son simplemente faroles).
Esto significa que tienen datos que les permitirán verificar los caracteres que les dijo en un corto período de tiempo. Los mismos datos pueden usarse en un ataque de fuerza bruta para romper los últimos cuatro caracteres de la contraseña. Cuatro caracteres es ciertamente demasiado corto para detener a un atacante determinado.
Una vez que el atacante tiene los últimos cuatro caracteres, se puede montar otro ataque en los caracteres anteriores. Para este ataque de fuerza bruta, los últimos cuatro caracteres de la contraseña no agregan seguridad, por lo que, en el mejor de los casos, tiene la seguridad equivalente de una contraseña cuatro caracteres más corta de lo que realmente es.
Es posible evitar la vulnerabilidad seleccionando una contraseña segura y luego agregar cuatro caracteres adicionales elegidos completamente independientes de la contraseña elegida al principio. Esto será seguro si solo pueden verificar los últimos cuatro caracteres y no un sufijo de longitud arbitraria.
Si de hecho son capaces de verificar un sufijo de longitud arbitraria y no solo los de exactamente cuatro caracteres, el almacenamiento de la contraseña sería aún más débil. Eso sería tan inseguro como almacenarlo como texto sin formato, y en ese caso, no puede evitarlo al elegir una contraseña más segura.
Como usted sabe, una contraseña debe estar grabada antes de guardarla, así que debe preguntarse si está el tiempo o no. Están almacenando los últimos 4 caracteres con el fin de la autorización verbal y luego escribir la contraseña antes de guardarlos. simplemente almacenándolo en texto plano.
Supongo que este último.
No creo que esto sea probable, simplemente posible.
Cada vez que OP necesita asistencia, solicitan los últimos 4 dígitos de su contraseña. Lo saltan y lo trocean y almacenan la sal y el hash y suficiente información para reconstruir el soporte en una tabla de soporte especial.
Luego, cuando OP inicia sesión (con la contraseña completa), pueden revisar la tabla de soporte y calcular los hashes. Luego cometen los "soportes" verificados y repudian los "soportes" falsificados.
Esto, por supuesto, asume que
es algo que se puede comprometer o rechazar más adelante
el proceso de solicitud de los últimos 4 no filtra información (alguien que le solicita los últimos 4 no cumple con los requisitos porque no podemos borrar sus memorias de manera confiable).
No puedo imaginar una situación en la que esto tenga sentido comercial. Pero si lo hiciera, creo que emitiría a mis usuarios una contraseña de "soporte" especial de 4 dígitos en su lugar.
¿Pueden ver la contraseña completa? Sí, definitivamente es posible que puedan adivinar la contraseña (si los últimos 4 dígitos son una fecha o partes de una palabra. Si la contraseña está completa con un total de 4 dígitos es suficiente para realizar un ataque de fuerza bruta o incluso tratando de hacer una heurística en la función hash para ver cómo se propagan 4 dígitos, reduciendo en gran medida el rango de contraseñas posibles.
Adivina esta contraseña:
*********ange
O este:
****1994
También es posible que sean piratas informáticos y exploten la API de soporte al cliente (si existe) para acceder a la información de los usuarios, esa tarea se hace aún más fácil al conocer 4 dígitos.
No deben hacerlo, en ningún caso, dar una parte de la contraseña a un extraño es una buena opción (ESPECIALMENTE, si después de ser despedido puede intentar dañar a los usuarios, y hay muchos ejemplos históricos) si es parte de atención al cliente.
Un servicio de atención al cliente no debe tener acceso a la contraseña original y debe actuar a través de una API ad-hoc para evitar hacer cosas malas (aún así, el soporte no debería poder acceder a los datos completos).
Además, si el servicio de atención al cliente tiene que pedir 4 dígitos de la contraseña, no puede enviar mensajes de correo electrónico a los usuarios con advertencias como "nunca proporcione su contraseña porque no lo pedimos" porque realmente está solicitando eso y capacitando a sus usuarios para que proporcionen información personal. los detalles pueden ayudarlos a ser atrapados por correos electrónicos de phishing.
Si realmente quieren comprobar la autenticidad del usuario, deberían usar cosas como códigos SMS, preguntas secretas o simplemente claves enviadas por correo electrónico.
Aún así, creo que es mucho más barato enviar un correo electrónico o un SMS que pagar 1-2 minutos a alguien haciendo lo mismo (a menos que ella / él sea una persona mal pagada).
Si un servicio realmente necesita verificar la identidad del usuario por algo importante, probablemente usaría una transmisión de cámara web desde la cual un operador puede ver la cara del usuario, y luego le pido que realice acciones específicas (como escribir una palabra en un papel y mostrar él de vuelta) para evitar que alguien más use un video grabado).
Por supuesto, esto no les gustará a los usuarios debido a la privacidad ^^
Como han dicho otros, hay muchas maneras en que este proveedor puede proteger los "últimos cuatro dígitos" de su contraseña. Sin embargo, CUALQUIER vez que emita una parte de su contraseña, se abrirá para que su cuenta se vea comprometida. Una de las cosas que nadie parece haber mencionado es que los últimos 4 dígitos de su contraseña que ingresa en el registro de chat probablemente no se cifran. Obviamente, los registros de chat deben ser fácilmente accesibles. Incluso si sigue una regla de complejidad de contraseña básica, solo ha reducido la longitud efectiva de su contraseña en 4 caracteres. Ahora imagine si esa es una contraseña que usa en otros lugares con una seguridad más liviana (lo que desafortunadamente, mucha gente hace).
TL: DR Esta es una práctica ridícula y me mantendría lejos de ellos a toda costa
Podrían estar almacenando un hash de su contraseña completa, más un hash de los últimos cuatro caracteres seguidos de 12 caracteres generados aleatoriamente. Si la forma en que generan los caracteres aleatorios es tan segura como el proceso de hash, esto debería ser tan seguro como almacenar su contraseña por sí mismo.
Lea otras preguntas en las etiquetas passwords password-management password-policy encryption web-hosting