empresas de alojamiento web que solicitan una contraseña en texto sin formato

5

Recientemente, en el chat en vivo, un representante de una empresa de alojamiento web (no divulgará el nombre de la empresa por problemas de responsabilidad), me pidió mi contraseña al servidor en texto sin formato para verificar la identidad del titular de la cuenta ( yo)

Luego, procedió a decirme que "su contraseña sí la coincide": está refiriéndose a la contraseña que le envié por HTTPS.

¿Debo cambiar mi contraseña cada vez que hago una solicitud de soporte?

Además, DEBEN estar almacenando las contraseñas de las cuentas de usuario en texto sin formato, ¿correcto?

Esto parece ser un importante compromiso de seguridad para sus clientes

    
pregunta Ryan M 23.06.2012 - 10:56
fuente

3 respuestas

7

Al estar un poco en el negocio de alojamiento, me doy cuenta de lo que quieres decir. En pocas palabras, es extremadamente mala práctica pedir a los clientes que proporcionen sus contraseñas en texto sin formato, pero todas las empresas lo hacen. Piden la contraseña completa o simplemente algunos caracteres del final.

Lo que quiero decir es que, en algunos lugares, como servidores dedicados, es imposible brindar soporte sin solicitar la contraseña de administrador / root en muchos casos, y nuevamente, para los servidores compartidos, el soporte debería poder acceder directamente con sus propias cuentas.

Supongo que al menos él usó su contraseña para compararla con un hash almacenado, pero los procedimientos de seguridad pueden ser defectuosos en muchas de estas compañías de alojamiento. Digo esto definitivamente porque sé que cPanel, Plesk, etc. no almacenan contraseñas en texto sin formato, por lo tanto, no tendría forma de simplemente "leerlas".

Sin embargo, debe cambiar sus credenciales cada vez que se ponga en contacto con el servicio de asistencia . También debe escribir sobre esto en un foro abierto para que el anfitrión tome una buena iniciativa para evitar las malas prácticas, ya que pueden usar fácilmente una respuesta a una pregunta secundaria o una llamada telefónica, etc. para verificar la identidad de uno.

    
respondido por el Rohan Durve 23.06.2012 - 11:04
fuente
2

Por lo general, los proveedores de alojamiento no deben solicitar los datos personales del cliente (como las contraseñas del panel de control, el panel de administración o el FTP) a través del chat en vivo. Esta información se debe proporcionar a través de boletos hacia y desde la dirección de correo electrónico de contacto del cliente que usó anteriormente para registrarse en la empresa de alojamiento.

    
respondido por el user16179 20.11.2012 - 13:42
fuente
1
  

¿Debo cambiar mi contraseña cada vez que hago una solicitud de soporte?

Sí (idealmente, preferiría que la tecnología específica no pudiera iniciar sesión de forma trivial como usted en un futuro). Aunque reconozca que si utiliza un servicio de terceros para el alojamiento web (incluso si es un VPS), no debe reutilizar esa contraseña en ningún otro lugar (y lo ideal sería utilizar una clave privada ssh el 90% del tiempo). En principio, un servicio de terceros no confiable podría fácilmente ejecutar secretamente un keylogger / rootkit que captura sus contraseñas (especialmente si acaba de seleccionar una máquina virtual introductoria que consideraron). Esto sería bastante poco ético; pero

  

Además, DEBEN estar almacenando las contraseñas de las cuentas de usuario en texto sin formato, ¿correcto?

Posiblemente. Si te piden tu contraseña completa; podrían estar tratando de ver si funciona desde su extremo (por ejemplo, comparándolo directamente con un hash almacenado o simplemente iniciando sesión en el sistema como usted). Si piden una contraseña parcial; es más probable que no lo estén almacenando en texto sin formato o encriptándolo (y tienen la clave para descifrarlo en texto sin formato). Si son administradores y se ocupan de la configuración de la cuenta (por ejemplo, para fines de facturación; compra de nuevos servicios), no deberían tener que iniciar sesión como usted; pero debe tener una cuenta de administrador que les otorgue permisos para ver / cambiar la configuración de su cuenta.

Realmente depende del entorno y del problema que tenga. Lo ideal es que nunca comparta las contraseñas (de las cuales el empleado no las escribe y luego intenta utilizar su información para ingresar su correo electrónico / banco / etc. si reutilizó las contraseñas). Sin embargo, si tiene un VPS (no es un alojamiento compartido) y está informando problemas que podrían estar relacionados con el hardware; comprueban los registros al final y no ven nada sospechoso y quieren volver a verificar que las cosas estén bien configuradas; es posible que deseen iniciar sesión en su máquina virtual para que puedan mirar alrededor y ejecutar algunos diagnósticos; y puede que les resulte más fácil ponerse a prueba luego que hablar con usted por teléfono / chat web y pedirle que los busque (y que siempre tenga que volver a leer la pantalla o lidiar con los comandos de escritura errónea).

    
respondido por el dr jimbob 23.06.2012 - 22:18
fuente

Lea otras preguntas en las etiquetas