澳洲iiNet 以纯文本形式存储密码

在澳大利亚生活百科



O.P.

我昨天不得不重设我的工具箱/ADSL 密码。当我完成重置过程并最终通过短信将我当前的密码发送给我时，我有点吃惊（即它不是重置链接，而是实际密码）。

那意味着他们要么以纯文本形式存储它，要么如果它被加密，那么加密是可逆的，这几乎同样糟糕。密码散列/加密应该是一种单向的方式......

（看看去年 Adob​​e 黑客事件——他们使用的是可逆加密......）

iiNet 以这种不安全的方式存储您的密码的可能原因是什么？

如果只是为了在您打电话时识别您的身份，那么我看不出有任何理由让他们以不安全的方式存储您的密码 — 他们可以使用他们掌握的有关您的其他一些信息来识别您（就像他们在您重置密码时所做的那样），或者他们可以让 CSR 在登录表单中输入您给他们的任何密码。 CSR 需要查看您未加密的密码的理由绝对为零。

这是其他 iiNet 客户的常识吗？我感到震惊。我想我对科技公司的期望更好...

评论

Matt A 写道...

这意味着他们要么以纯文本形式存储它，要么完全加密，那么加密是可逆的，这几乎同样糟糕。

我相信它是可逆的，因为工作人员无法再查看密码，而是必须将它们输入到某种盒子来验证密码是否正确。它们肯定不是以纯文本形式存储的。

评论

Jarrad of S 写道...

我相信这是可逆的，因为工作人员无法再查看密码...

技术支持人员上周晚些时候通过电话向我宣读了我的密码。

评论
O.P.< p class="reference">Jarrad of S 写道...

我相信这是可逆的，因为工作人员无法再查看密码，而是必须将密码输入某种盒子以验证密码是否正确。

如果有人恶意控制了他们的数据库，可逆几乎和纯文本一样糟糕。

如果你说的是真的那么它不需要是可逆的，即：

1.客户告诉CSR密码是什么。
2。 CSR 在登录表单中输入密码。
3。 iiNet 系统加密密码并将其与加密密码进行比较。向 CSR 返回“是”或“否”。

没有理由让任何人都需要知道未加密的密码。

并且密码重置系统不应该能够将其发送到我...

评论

Matt A 写道...

即它不是重置链接，而是实际密码）。

如果您无法上网，您将如何使用重置链接？

CSR 的理由绝对为零永远需要查看您未加密的密码。

我修理我朋友的电脑。有必要。他们有充分的理由需要它来为像我的朋友一样不懂计算机的人提供服务。我确定他们不是唯一的。

评论
O.P.

_wateva_ writes...

给那些不懂电脑的人我的朋友们

是的，但不识字的人也会在多个地方使用相同的密码，尽管他们被警告不要这样做。我认为这是一个更大的潜在问题，如果 iiNet 的数据库遭到破坏......

如果你无法上网，你将如何使用重置链接？

我是已经在线。如果我不在线，我将无法填写他们网站上的“恢复密码表”。

如果您无法上网，则必须打电话给他们才能开始无论如何密码恢复过程，在这种情况下，他们可以将您的密码重置为一个新的临时密码并提供给您，然后在您恢复在线后强制您更改密码。

评论

多年来，这已被多次提及：

/forum-replies.cfm?t=55197

/forum-replies.cfm?t=387871

/forum-replies.cfm?t=371080

/forum-replies.cfm?t=308539

特别值得注意的是 MM 的这篇帖子：/forum- replies.cfm?t=308539&p=3&#r43

简短的回答是，密码不可见是不可行的。这会使排除连接故障或设置客户的调制解调器变得非常非常困难。

评论

_wateva_ 写道...

< p>如果无法上网，您将如何使用重置链接？

也许 OP 拥有智能手机或 3G/4G 平板电脑，或者使用其他互联网服务，例如从他们的网站请求重置工作 PC

编辑：OP 在我打字时回答

评论

天啊，太可怕了！想一想有人可以用这些信息做什么！他们可以获得免费互联网！他们会同时把我踢出互联网！我从哪里得到我所有的 PRON？！？！？！？！？

最重要的是，他们应该实施具有适当复杂性要求的强密码政策，并强制每个人每 90 天轮换一次密码！是的！有史以来最好的安全！！！添加 MFA 以获得更高级别的安全性！这将保护我的个人数据！谁在乎每次我的路由器重置以恢复互联网时我是否需要在场？！？

严肃地说，您是否考虑过他们可能需要使用不同的协议对您进行身份验证，这些协议使用不同的哈希算法密码传输？你有没有想过其中一些可能是一起未加密的？那么告诉我天才，当使用 PAP 验证我的 PPPoE 会话时，我应该如何反转密码散列？

评论

使用像 LastPass 这样的密码管理器和唯一密码的更多理由每个站点。

评论

Matt A 写道...

1.客户告诉CSR密码是什么。
2。 CSR 在登录表单中输入密码。

[...]

没有理由让任何人都需要知道未加密的密码。

我是只有一个注意到矛盾的人？

评论

securitynazi 写道...

所以告诉我天才，我应该如何逆转使用 PAP 验证我的 PPPoE 会话时的密码散列？

一个密码不必统治所有这些。

我可以创建一个密码（一旦登录到工具箱）来验证我的PPPoE 会话。

我可以创建一个密码（登录到工具箱后），该密码可用于与 CSR 对话 – 无需满足当前的复杂性规则。

评论

damox 写道...

我可以创建一个密码（一旦登录到工具箱）来验证我的 PPPoE 会话。

< p>大多数用户现在甚至不需要 PPPoE 连接的密码（网上客户）。

评论

Matt A 写道.. .

密码散列/加密应该是一种单向的东西......

+1 对此，我也发现任何其他不可接受的 - 个人和专业意见。

评论

只是想知道，四年前，当我签名时，我的欢迎信中有我的密码。这还是一样吗？

评论

heisdeadjim 写道...

只是想知道，四年前，当我注册时我的欢迎信中有我的密码。这还是一样吗？

是的，我的 nbn 服务的欢迎电子邮件 ~5 个月前有我的密码

评论

详细说明，调制解调器所在的盒子上附有一封信。

评论

heisdeadjim 写道...

详细说明，调制解调器所在的盒子上附有这封信。

啊，然后是 nvm

评论

这里的问题不在于密码哈希没有存储，但是：

密码也与主邮箱共享；并非每个用户都在其客户端中配置了基于 TLS 的 IMAP/SMTP，并且调制解调器无论如何都必须以可逆的方式存储密码，以便向您的 ISP 进行身份验证（并且大多数只是将其以纯文本形式存储）。

最后一点有点牵强，但您明白我的意思。

我认为真正的推动应该始终是确保用户在设置或重新配置他们的邮件客户端时尽可能启用 TLS，并且他们了解使用唯一密码的必要性（或者至少只为关键服务使用唯一密码）。

评论

sherlock 写道...

我认为真正的推动应该始终是确保用户在设置或重新配置他们的邮件客户端时尽可能启用 TLS

如果设备仅通过安全连接（即没有公共 wifi、以太网）连接到 iinet 网络，则这不是真正的问题。

澳洲中文论坛热点