Je veux en parler à HostGator, mais je veux vérifier mes soupçons avant de faire toute une histoire.
J'ai demandé à un représentant du service client de m'aider à ajouter un certificat SSL à un site que j'héberge avec lui. Quand il a fini, j'ai reçu cet e-mail avec toutes mes informations de connexion et mon mot de passe complet en texte brut (j'ai laissé la première lettre visible comme preuve). J'ai créé ce mot de passe il y a plus d'un an, et ce fut une grande surprise de découvrir qu'ils me l'ont renvoyé, sans invite, en clair:
J'en ai immédiatement parlé au représentant, qui a tenté à plusieurs reprises de me convaincre que tout allait bien. J'ai décidé de le laisser tomber après quelques minutes, car je pense que je devrais le porter à quelqu'un de plus haut. Avant de le faire, est-il sûr de supposer que mon mot de passe est stocké dans leur base de données en texte brut? Si oui, avez-vous des suggestions sur la façon de résoudre ce problème avec le fournisseur?
Oui, c'est un gros problème, surtout si c'était votre ancien mot de passe (c'est-à-dire pas un nouveau mot de passe).
Techniquement, le mot de passe peut être stocké sous cryptage réversible plutôt qu'en texte brut, mais c'est presque aussi mauvais. La norme minimale absolue devrait être un hachage salé - rien de moins et toute personne ayant accès à la base de données d'authentification qui le souhaite peut utiliser une table Rainbow en ligne pour récupérer les mots de passe en clair en quelques instants - mais les fonctions de l'algorithme de hachage sécurisé (SHA) à une seule itération sont toujours facile à utiliser avec un GPU (ils sont conçus pour être rapides; un GPU haut de gamme peut calculer des milliards par seconde), ils devraient donc vraiment utiliser une fonction de hachage de mot de passe appropriée telle que scrypt ou argon2, ou à la rigueur bcrypt ou PBKDF2.
De plus, il n'y a absolument aucun moyen de garantir que le courrier électronique a été crypté sur tout le chemin entre leur serveur de messagerie et votre client de messagerie. Le courrier électronique a été conçu à une époque où les gens ne considéraient pas vraiment ces choses comme critiques, et à court d'un schéma de chiffrement de bout en bout comme OpenPGP ou S/MIME, le courrier électronique est au mieux chiffré de manière opportuniste et peut être transmis via un relais non chiffré.
Oui, ils stockent les mots de passe en clair ou équivalent, et les transmettent définitivement en texte brut. Cela a été découvert en 2011.
Ceci est confirmé que HostGator est répertorié sur Plaintext Offenders , ainsi que par son entrée dans le fichier CVS contenant une liste de délinquants. Ce n'est pas nouveau et est connu depuis au moins 2011. HostGator n'a pas réformé depuis. Le site Web des Plaintext Offenders montre une capture d'écran similaire à la vôtre comme preuve:
Si la réponse du représentant de l'entreprise est vraie, le mot de passe est stocké sous la forme texte crypté. Cela rend le mot de passe en texte brut dans e-mail non invité une plus grande préoccupation.
est-il sûr de supposer que mon mot de passe est stocké dans leur base de données en texte brut?
Le représentant de l'entreprise a explicitement indiqué qu'il ne stockait pas le mot de passe en texte brut. En supposant qu'il dit la vérité, ma conclusion est qu'ils stockent le mot de passe dans un texte crypté. Ils sont meilleurs que les mots de passe en texte brut mais ils ne sont toujours pas sécurisés. Le hachage et le salage sont le meilleur moyen de stocker les mots de passe.
Si le mot de passe stocké est crypté, la plus grande préoccupation ici n'est pas la façon dont il est stocké mais la façon dont il est transmis, en texte brut sur un e-mail lorsque l'utilisateur n'en a pas demandé.
avez-vous des suggestions sur la façon de résoudre ce problème avec le fournisseur?
Vous pouvez demander à l'entreprise de modifier les éléments suivants (dans l'ordre de priorité)
En réponse aux commentaires,