DasBeasto
2016-03-16 18:44:49 UTC
我在一家公司(不是最大的公司)有一個學生貸款帳戶,但規模足夠大,可以一起行動。今天,我忘記了登錄帳戶儀表板的密碼。我單擊“忘記密碼”,他們用5個問題提示我。名,姓,最後4位數字的SSN,生日和郵政編碼。只要努力就可以輕鬆獲取所有信息,更不用說定期發送的有關付款的電子郵件中包含的所有信息。輸入信息後,網站會回答說我已通過身份驗證,並以明文形式提供我的密碼。
因此,現在不僅非常容易獲得丟失的密碼詳細信息,而且甚至不將其發送到您的電子郵件中,他們只是將其顯示在屏幕上,此外,他們還將密碼以純文本格式存儲在數據庫中。這是一個帳戶,其中包含我的數千美元貸款的詳細信息以及我的自動付款的銀行詳細信息。幸運的是,沒有提供的詳細信息是我的用戶名,即我的完整SSN,因此這是安全性的最後一環。但是,如果他們存儲未加密的密碼,我確定我的SSN也不存在,這會使情況變得更糟。
所以我的問題是,鑑於這是我不能隨便離開的貸款,有什麼/我可以採取哪些預防措施或步驟以使此方法更安全?給他們發送電子郵件並標記他們的安全性是否值得升級,還是我應該盡快付款然後離開?如果我確實警告了他們,我應該說它們容易受到哪些威脅,以期將它們嚇到一塊?
[公開羞辱](http://plaintextoffenders.com/)可能是一種解決方法。具有諷刺意味的僅服務於http;)
告訴您的公司您正在從貸款中獲得貸款,以使他們共同行動。如果船舶墜落而您的信息被洩漏,請隨時致電警察以獲取被盜信息,並聘請律師就其被盜方法進行調查。(該站點不安全,因此最終是公司的錯。)
請為此網站使用唯一的密碼。另外,我不確定他們是否使用HTTPS,但考慮到他們還有其他安全漏洞,如果SSL也丟失,我也不會感到驚訝。在這種情況下,請確保始終從沒有安裝嗅探器的相對受信任的網絡訪問該站點。儘管擁有網絡或使用ISP路由器的人仍然可以通過HTTP以純文本格式獲取所有信息,但這是您目前能做的最好的事情。
他們可能存儲的是加密的密碼,而不是明文。稍差一些。它避免了僅數據庫轉儲或SQL注入帶來的普通明文洩漏。這仍然不是一個好習慣,因為如果服務器受到攻擊,攻擊者將可能能夠通過一些額外的工作來提取解密密鑰。
評論不作進一步討論;此對話已[移至聊天](http://chat.stackexchange.com/rooms/37189/discussion-on-question-by-dasbeasto-what-to-do-if-stuck-with-website-that- has-po)。
對於任何想知道的人,將近一年後,我的電子郵件,網站內投訴或對FTC的投訴都沒有得到答复。網站上仍然存在相同的問題。
重新更新:他們終於遷移到一個全新的站點。儘管新站點糟糕透頂,但沒有相同的問題。