Société d'hébergement Web capable de déchiffrer les mots de passe?
Ce soir, j'utilisais le cPanel d'un site Web hébergé par I Host et quand je suis allé changer le mot de passe, j'ai été averti que je ne pouvais pas changer le mot de passe en mot de passe car il était trop similaire à mon mot de passe précédent.
Maintenant, ceux-ci ont immédiatement soulevé mon sourcil, car cela signifie que je peux comparer la chaîne de mon nouveau mot de passe avec le mot de passe précédent. Ils sont soit stockés en texte brut (sûrement pas pour une entreprise d’hébergement Web), soit avec un algorithme qui peut être déchiffré ( qui n'est pas vraiment beaucoup mieux)?
Ou est-ce un problème avec cPanel dans son ensemble? Plus tôt cette semaine, j’ai souscrit à un forfait auprès d’une société .com qui utilise cPanel et j’ai remarqué que lorsque j’ai saisi mon mot de passe sur l’écran suivant, il a indiqué que votre mot de passe avait été changé avec succès en "xxxxx" ... Je ne sais pas si cela les données ont déjà été stockées mais je n'ai rien mis sur ce site à cause de cette préoccupation.
Est-il possible qu'ils utilisent une technologie de chiffrement telle que PGP pour déchiffrer le mot de passe?
J'ai envoyé un courrier électronique aux deux sociétés pour leur demander des éclaircissements sur cette question, mais je crains de ne recevoir que leur "message de société".
Je ne suis pas sûr que cette question corresponde parfaitement à la structure de questions-réponses de SO. Cependant, la sécurité des mots de passe est l'une des choses les plus importantes de l'OMI sur Internet. Si la société hébergeant vos sites Web a une sécurité médiocre, il s'agit d'un problème grave.
Vos hypothèses sont généralement vraies. Mais sans examiner moi-même le code cPanel, je ne sais pas quelle est la situation réelle. Cependant, il existe une chose telle que hachage sensible à la localité .
Contrairement à un algorithme de hachage normal, dans lequel vous souhaitez que des modifications minimes produisent d'énormes différences, le hachage sensible à la localité produit des hachages qui reflètent la similarité/la distance entre les textes non hachurés d'origine. Mais je ne crois pas qu'ils soient réellement destinés à être utilisés comme des hachages cryptographiques. Ils sont plus souvent utilisés pour les recherches de similarité (comme la recherche d'images).
Tout d'abord, PGP est utilisé pour chiffrer à l'aide de clés privées et publiques. Cela n'a rien à voir avec votre mot de passe ou l'algorithme utilisé pour le chiffrer sur un serveur d'hébergement. Il est fort probable qu'un hash MD5 soit utilisé pour stocker le mot de passe. Une version en texte clair peut être stockée pour l'unique raison de vous empêcher d'utiliser des mots de passe identiques ou similaires à l'avenir. Mon hébergeur vous fait utiliser des majuscules, minuscules et un nombre minimum de 8 caractères.
Bien que je ne sois pas d’accord avec les entreprises qui utilisent des parties d’un mot de passe pour vérifier que vous êtes le propriétaire du site lorsque vous parlez avec l’assistance. Une meilleure pratique est de hacher les mots de passe, de ne pas stocker de version en texte clair, et si vous oubliez votre laissez-passer, utilisez des jetons pour vous permettre de changer de mot de passe. Et faire correspondre les hachages md5 de l'ancien au nouveau mot de passe est assez simple pour vous empêcher d'utiliser le même mot de passe.
Avant de hacher un mot de passe, les entreprises peuvent simplement vérifier si vous avez respecté leurs exigences minimales en matière de longueur et de type de caractère.
Si les entreprises utilisent cPanel, il est peu probable que l'algorithme de mot de passe soit modifié. Donc, vous pouvez regarder GoDaddy et d'autres qui ont leurs propres panneaux de contrôle.
Peut-être stockent-ils des hachages de portions de vos mots de passe. Cela pourrait leur permettre de détecter les similarités sans stocker votre mot de passe, ou une partie de celui-ci, en texte clair, mais je pense que cela élimine également la sécurité du hachage du mot de passe, au moins quelque peu.
Il semble bien qu’une version en texte brut de votre mot de passe soit récupérable, ce qui est une mauvaise pratique.
J'espère que votre mot de passe est au moins crypté, mais il ne faut pas compter dessus.
C'est bien que vous le signaliez à votre hébergeur!