題:
如何解決大公司的錯誤密碼安全策略?
Douglas Gaskell
2017-07-04 01:51:04 UTC
view on stackexchange narkive permalink

我只是去重置我的Western Digital密碼,他們通過電子郵件將我的明文密碼發送給我,而不是提供在線表格讓我更改它。這對我來說真的很重要,因為該站點接受/處理驅動器的付款,並且我以前已經在此站點上付款。

作為對此的對策,我將在該站點上使用的密碼視為(如果它已經被洩露),並確保我在其上使用過的所有其他網站的密碼都是唯一的。只是為了確定。

以最有可能成功鼓勵他們改正其密碼策略的方式來解決此問題的最佳方法是什麼?

他們是通過電子郵件給您忘記的密碼還是通過新密碼使您輸入密碼重設表單?如果是前者,這是http://plaintextoffenders.com/的情況,在後者的情況下,我認為沒有任何不安全的地方。
評論不作進一步討論;此對話已[移至聊天](http://chat.stackexchange.com/rooms/61779/discussion-on-question-by-douglas-gaskell-how-to-address-bad-password-security-p)。
您可以在不重新輸入卡信息的情況下進行新購買嗎?這樣做的能力使PayPal之類的網站真正敏感。一個典型的電子商務站點不允許這樣做,或者迫使您至少重新輸入安全代碼,從而大大降低了風險。亞馬遜有一個有趣的變化,如果您更改送貨地址,它們會迫使您重新輸入卡安全碼。
五 答案:
John Wu
2017-07-04 03:00:45 UTC
view on stackexchange narkive permalink

如果他們通過信用卡處理付款,則他們必須遵守PCI-DSS。您始終可以報告違規行為。他們可能會派出審核員並堅持補救措施。整個過程可能需要一年或更長時間。假設您發現了真正的問題,那麼如果他們已經在為此工作,我也不會感到驚訝。

如果OP的帳戶可以某種方式訪問持卡人數據(或者至少是存儲在其上的系統),那不應該僅僅是違反PCI-DSS嗎?僅僅因為他們可以通過其網站進行付款,並不意味著客戶的帳戶可以以任何方式訪問任何這些數據(當然,如果他們通過電子郵件發送明文密碼,他們知道他們還會做什麼瘋狂的事情)。
[PCI第8節](https://www.pcisecuritystandards.org/pdfs/pci_ssc_quick_guide.pdf)涵蓋了密碼。如果OP可以付款,則他可以訪問持卡人數據。
即使WD使用Digital River作為其網上商店的處理公司,WD是否仍需要保持PCI-DSS遵從性?
@JohnWu較小的規定是,站點可以使用諸如Stripe之類的支付處理器,並且從不存儲任何持卡人數據,這對最終用戶幾乎是完全透明的。但是我懷疑像WD這樣的公司正在使用它。
即使使用Digital River,Stripe或其他第三方處理器,仍存在PCI-DSS兼容性問題。店面只會具有較低的[遵從級別,可能是SAQ-A](https://www.mwrinfosecurity.com/our-thinking/pci-compliance-which-saq-is-right-for-me/)。
從現在開始比過去更好的一年。
@JohnWu“如果OP可以付款,那麼他可以訪問持卡人數據”不一定是正確的-在許多支付系統中,都沒有存儲持卡人數據,即您無法訪問自己過去的付款數據,因此訪問您的帳戶不會不能訪問您的CHD數據。
PCI合規性也適用於在線商家,只是在支付處理器可能受到的審查級別上不是如此。付款處理方一直對確保其商家符合PCI感興趣,並在不符合PCI要求時收取額外費用。
@Peteris:我知道您正在拆分頭髮,所以讓我進一步拆分它們:通過在網頁上輸入卡號並使用它來完成購買,用戶正在訪問持卡人數據。這些活動由店面協調,因此它也承擔與交易相關的任何財務風險。遵守PCI-DSS的目的是減輕風險。
@JohnWu是的,在這種情況下,PCI DSS將要求對傳輸中的CHD進行加密(例如,使用https),並具有其他要求,但是(如我所說)PCI DSS的合規性*不*要求用戶具有安全的帳戶密碼,實際上,只要不存儲CHD,付款人根本不需要任何密碼。PCI DSS詳細說明了可以訪問CHD的帳戶的密碼要求,但是這些密碼要求不適用於組織通常可能擁有的所有帳戶,並且不適用於此情況-它們可以輕鬆地合規。
哎呀,我不會在不了解他們的系統的情況下假設這裡確實存在違規行為。我認為我的主要觀點是,PCI審核員仍可以審查系統並提出建議。
Chenmunka
2017-07-04 14:29:05 UTC
view on stackexchange narkive permalink

如果某公司以純文本格式向您發送您的登錄詳細信息,則您可以公開羞辱您現有的登錄信息,也可以公開羞辱您。

純文本違法者是您只需提交違規電子郵件的屏幕截圖即可發布他們的愚蠢信息。請小心,不要輸入任何敏感信息。這是一個值得關注的網站,因此您知道要避免使用哪些公司。

我很好奇PTO是否會努力將問題通知違法者。他們沒有在他們的網站上確認(我可以看到),但是我確實找到了關於違規者的錯誤報告,該報告似乎表明PTO將為您聯繫違規者。因此,您可能*只是*必須將站點發送到PTO,而不必試圖弄清楚如何與公司聯繫。但是無論如何联系公司都沒有什麼害處,特別是因為不清楚PTO是否總是這樣做。
他們最近的職位已超過一年。該網站仍然活躍嗎?
該網站似乎還很不穩定。我已經提交了大概幾十個網站,這些網站在創建帳戶或重置後向我發送了(輸入的)密碼。而且沒有人出現在他們的名單上。應該做一個替代方案...
Swashbuckler
2017-07-04 02:03:18 UTC
view on stackexchange narkive permalink

看來,Western Digital沒有安全團隊,您可以直接聯繫有關漏洞的信息。實際上,我在他們的支持網站上找到了一個帖子,專門詢問為什麼沒有電子郵件地址或PGP密鑰可用於漏洞,而WD的人都沒有回應。

我發現的是某人說他們需要報告漏洞,支持人員回答說,他會私下向該人員發送消息。我建議你也這樣做。

TheJulyPlot
2017-07-04 20:34:02 UTC
view on stackexchange narkive permalink

我認為這可能屬於負責任的披露範圍。您應該採取的一些步驟已經被單獨提及,但是應該作為整體解決問題的方法的一部分。

首先要做的是向支持小組報告問題。

詳細說明復制問題的步驟(例如,恢復密碼,接收純文本格式的密碼),並提供有關其如何處理密碼以及為什麼這是個壞主意的信息。

在過去,我還將包括一些有關此問題的新聞報導,以期提供上下文信息,例如有關PlusNet的內容

我會向他們解釋,如果他們沒有在 x 天(90天)內解決問題,對我來說合理的接縫)您打算採取行動。

告訴他們這個動作是什麼。例如,您認為他們正在處理信用卡,因此您打算舉報PCI違規行為。明確說明如果問題未解決,您打算公開披露該問題。 (博客文章,社交媒體,向其報告專業媒體,“假冒”網站等)。

需要記住的幾件事是,即使它們有問題,也需要一些時間來實施更改。 ,(儘管值得懷疑),由於IT團隊缺乏投資和/或技能,他們可能不會意識到這個問題,因此請真誠行事,並給他們合理的時間進行更改。

您應該做的第二操作是上面的操作。

當然,這裡的問題是這個問題已經直接跳到了公開披露中。

鑑於此,我將提供一個指向該問題的鏈接,因為看到一大堆安全專家討論該問題無疑會激起系統管理員的思想(如果不是,那麼Western Digital應該在尋找一個新的系統管理員)

冒犯性公司的故意設計決策真的需要負責任的披露嗎?我發現這樣的問題不太可能是僅由錯誤引起的。
誰知道原因是什麼,設計決策,過失等等。這不是錯誤,但它是缺陷。就我個人而言,我會謹慎行事,並誠實地舉報行為,並向他們提供實施變更的機會。但是,這只是一個觀點。
el.pescado
2017-07-05 19:46:10 UTC
view on stackexchange narkive permalink

純文本密碼不是您(=用戶)的問題

您應將密碼視為共享機密-即,假設您和WD都知道。畢竟,每次登錄他們的網站時,您都說:“嗨,我叫Douglas Gaskell,我的密碼叫Correct Horse Battery Staple,請讓我進入。”如果惡意分子入侵了他們的網站,他們不需要您的密碼-他們仍然可以訪問您的數據。 Ashley Madison會對用戶的密碼進行哈希處理,但這在數據洩露後並沒有太大的安慰。首先不要重用您的密碼。 為每個站點選擇唯一的強密碼。這樣,以純文本格式存儲的密碼並不是您真正的問題。如果您沒有在其他站點上重複使用WD密碼,請在WD和所有其他站點上進行更改(如果可能)。

不要浪費時間

用戶無法控制其密碼是否被散列。大公司要么有理由以可恢復的形式存儲密碼(不一定暗含明文),要么冒充或根本就不在乎。他們的密碼系統可能由多個服務使用,其中一些可能是非常舊的大型機。您不太可能更改其密碼策略。

以這種方式

以可恢復的形式存儲密碼並不意味著以明文形式存儲密碼。

TL; DR::使用強密碼,不要重複使用它們,將它們保留在良好的密碼管理器中,啟用雙因素身份驗證對於有價值的帳戶,不必擔心您無法控制的事情。

“如果惡意分子入侵了他們的網站(...),他們仍然可以訪問您的數據。”不,不一定。他們並不總是具有完全訪問權限。此外,密碼不僅涉及機密性。如果他們可以使用您的密碼登錄到該站點,則他們可以偽裝成您並以您的名義行事。
如果他們可以訪問密碼數據庫,則他們可能無需密碼即可冒充您。
如果密碼正確地散列,則@el.pescado不能....
如果密碼是以明文形式存儲的,那麼有權訪問密碼的任何人都可以冒充系統中的任何人,包括公司的員工。這就是為什麼您應該正確地對密碼進行哈希處理的原因。
@schroeder我的意思是,是的,您應該對用戶密碼進行哈希處理,但是從理論上講,如果可以訪問密碼(無論是否經過哈希處理),您都可以訪問所有其他數據。
@el.pescado同樣,不一定。可以訪問密碼的哈希哈希,而無需訪問其他數據。一種情況是攻擊者洩漏了鹽醃的哈希,而沒有放棄他們獲得的其他數據。那已經發生了。
我同意,但這是從系統管理員的角度來看的。問題來自用戶的POV。
好吧,假設我是銀行網站的用戶。銀行使用一個單獨的數據庫存儲密碼(好主意)。應用程序具有SQLi漏洞,但僅在密碼DB上。如果銀行正確地添加了鹽和哈希,攻擊者將無法完成全部工作-服務器將使用存儲的值檢查發送的所有內容的哈希,因此他們無法像我一樣擁有已鹽化的哈希登錄。我的錢很安全(足夠)。如果銀行以明文形式存儲它們,攻擊者就可以以我的身份登錄,而我的所有錢都用光了(收回這可能是一個漫長的法律程序,我現在沒有錢可付)。用戶問題。
@Delioth就是一個很好的例子。這就是在線銀行系統使用2FA(至少與我有業務往來的系統)的原因。啟用2FA後,在您的情況下,攻擊者會在您的帳戶上看到餘額(我同意,這仍然很糟糕),但無法在任何地方轉賬。我將更新答案以包括2FA。
@el.pescado,您認為還沒有學會不存儲明文密碼的公司正在使用2FA?這是一個巨大的假設,因為純文本密碼要么很少關心安全性,要么不了解安全性實踐。
+1為能正確理解風險的實用建議。
@Delioth關於分離密碼和其他數據也可以這樣說。兩者分開的機會是什麼,密碼也不會被散列,也不會被加密,並且不會同時使用其他任何其他身份驗證方法,並且密碼數據庫是被黑客入侵的一個機會?另一方面,在發怒的客戶電子郵件之後,他們開始對密碼進行哈希處理的機會是什麼?順便說一句。當銀行洩漏憑證並竊取資金時,至少在歐洲,訴訟程序將不會困難。


該問答將自動從英語翻譯而來。原始內容可在stackexchange上找到,我們感謝它分發的cc by-sa 3.0許可。
Loading...