英国互联网服务提供商有最糟糕的借口,可以将密码存储在纯文本中



Virgin Media是英国最大的ISP之一。 怪异的小丑 是英国最受尊敬和最有经验的道德黑客之一。

其中一个人对信息安全了如指掌。另一个是Virgin Media。

但是等等,我已经领先于自己了。当Freaky Clown忘记了他的Virgin Media帐户的登录详细信息并要求重置密码时,这个悲惨的故事(以及惊人的无能)就开始了。在与电话中的代表交谈后,他告诉他将在未来几天邮寄给他。

它确实如此。但当Freaky Clown打开信封时,他简直不敢相信自己的眼睛。这是他以前的密码!

首先,有点偏离。我必须告诉你为什么从安全角度来看这是如此有问题。你看,人们倾向于在互联网上重复使用相同的密码。他们不应该,但他们确实如此。因此,对于任何持有登录详细信息的服务来说,最佳做法是以技术上无法检索的方式存储密码。

这是通过一个名为哈希和盐析的过程完成的,从而将人类可读的密码(如“hunter2”)变成一串看似随机的字符,这些字符对于该特定网站是唯一的,如“f3bbbd66a63d4bf1747940578ec3d0103530e21d”。

这意味着,如果攻击者获得对该站点数据库的访问权限,则他们获取的任何密码都不能用于破坏其他网站上的帐户。

现在,回到Freaky Clown。无论是维珍媒体还是设法生成了一个与他之前的密码完全相同的密码,这将是一个令人难以置信的巧合,或者更可能的是,它以不安全的格式存储密码。

与大多数安全专业人士一样,Freaky Clown是Twitter的狂热用户,很快就开始为Virgin Media带来明显的安全漏洞。一位公司代表迅速回击,解释说从安全角度来看这个过程非常好,因为打开别人的邮件是违法的。

是的,因为犯罪分子不违反法律,对吧?

按照这个逻辑,我为什么要锁前门?毕竟,入室盗窃是非法的。

也许,通过延期,我们应该取消警察,因为破坏法律是非法的。想象一下我们从军官,侦探,法官和狱警的工资中攒下的所有钱。

在撰写本文时,该推文共享了1,200多次,并收到超过1,800个喜欢。而且,公平地说,我不想对维珍媒体代表太过苛刻。沟通安全是一项艰巨的工作,而且不应该留在其他不合格的一线社交媒体专业人士手中。

这里最大的问题不是推文。维珍媒体似乎正在使用不安全的做法来保存客户数据。并且,如果它被黑客入侵,它可能会产生传染效应,导致其他服务的帐户受到损害。

那就是问题所在。

对于上帝的爱,维珍媒体,它是2019年。你应该从其他黑客服务的例子中学到,比如LinkedIn,MySpace和Ashley Madison,所有人都犯了你现在正在做的同样的错误。你欠你的客户。