Ktorý registrátor neukladá plaintext heslá?

gazda

Ktorý registrátor neukladá plaintext heslá?
« kdy: 14. 12. 2011, 18:49:30 »
Vážení kolegovia,

je veľmi fajn, že nic.cz "certifikuje" registrátorov, viď http://www.nic.cz/whois/registrars/list/1/
Ale škoda, že do svojich kritérií nezahrnul
 - heslo k účtu sa ukladá zašifrovane
 - heslo k účtu sa nikdy neposiela e-mailom

Z najvyššie hodnotených registrátorov som si vybral regZone.cz, ktorý zjavne nespĺňa ani jedno.

Toto je po Ignum alias domena.cz už druhý český registrátor u kt. som sa stretol s niečím takým. Snáď to nerobia všetci?!

Mohli by ste mi prosím poradiť, ktorí z tých "certifikovaných" sú na tom lepšie?

Ďakujem.
« Poslední změna: 14. 12. 2011, 21:10:27 od Petr Krčmář »


Jenda

Podmínka 1 nelze splnit a je to k ničemu. https://www.abclinuxu.cz/portal/poradna/show/342861

IF-ELSE

No a co ti brani ako velkemu "truhlikovi" si zmenit heslo v nejakom Paneli hostingu?

gazda

Podmínka 1 nelze splnit a je to k ničemu. https://www.abclinuxu.cz/portal/poradna/show/342861
Odkazujete na dlhý text. Kde sa v ňom píše, že "Podmínka 1 nelze splnit a je to k ničemu"?

No a co ti brani ako velkemu "truhlikovi" si zmenit heslo v nejakom Paneli hostingu?
Čo to zmení na fakte, že registrátor ukladá a posiela e-mailom nezahashované heslá?

to je jedno

Re:Ktorý registrátor neukladá plaintext heslá?
« Odpověď #4 kdy: 14. 12. 2011, 22:30:47 »
KDY je posila? mate neduveru vuci registratorovi? mate spatnou zkusenost ze ktere ta neduvera prameni?


Jenda

Podmínka 1 nelze splnit a je to k ničemu. https://www.abclinuxu.cz/portal/poradna/show/342861
Odkazujete na dlhý text. Kde sa v ňom píše, že "Podmínka 1 nelze splnit a je to k ničemu"?
Nikdy si nemůžeš být jistý, že to heslo neukládá nějaký útočník po cestě, nebo že se poskytovatel nerozhodl jít evil → stejně si musíš ke každé službě nastavit jiné heslo → hashování ti už může být jedno.

Jenda

Re:Ktorý registrátor neukladá plaintext heslá?
« Odpověď #6 kdy: 14. 12. 2011, 23:50:21 »
KDY je posila?
Typicky se dá na webu požádat "poslat heslo na mail".

gazda

Nikdy si nemůžeš být jistý, že to heslo neukládá nějaký útočník po cestě
V prípade SMTP máte pravdu. A to je dôvod, prečo neposielať heslo e-mailom hneď po registrácií (regZone aj Ignum to robia) teda aj nad rámec funkcie "zabudol som heslo". Heslo som nezabudol a registrátor dal sám od seba šancu zneužiť moje konto napr. môjmu poskytovateľovi internetového pripojenia.
V prípade HTTPS to má útočník po ceste neporovnateľne tažšie.
nebo že se poskytovatel nerozhodl jít evil
Nie, to sa vylúčiť nedá. Ale "poskytovatel" nie je jedna osoba. V prípade nezahashovaných hesiel môže zneužiť každé jedno konto každý jeden zamestnanec, ktorý si jediný raz uložil dotyčnú tabuľku databázy.
Keď sa pozrieme na škodcov mimo registrátora, je tu samozrejme SQL injection.

Nechcem nikoho presviedčiať o tom, že nezahashované heslá a ich posielanie e-mailom sú nebezpečné. Chcem sa dozvedieť ktorý registrátor .cz domien to nerobí. Vopred ďakujem za tipy.

branchman2

Heslo som nezabudol a registrátor dal sám od seba šancu zneužiť moje konto napr. môjmu poskytovateľovi internetového pripojenia.
Ale to dava kazdy vzdy, aj ked heslo neposle. Citanie mailu zadaneho pri registracii staci na to, aby clovek zmenil DNS zaznamy. Poslanie hesla urcite nie je bezpecnejsie, ale aspon na toto riziko upozornuje.

to je jedno

Re:Ktorý registrátor neukladá plaintext heslá?
« Odpověď #9 kdy: 15. 12. 2011, 09:49:55 »
kolik takovych pripadu se jiz stalo?

jinak paranoidnimu cloveku bych obecne doporucil misto hledani nesmyslu vypnout pc, mobil a jit bydlet do lesa.

gazda

Re:Ktorý registrátor neukladá plaintext heslá?
« Odpověď #10 kdy: 15. 12. 2011, 10:23:41 »
Opakujem, že nechcem nikoho presviedčať o tom, že nezahashované heslá a ich posielanie e-mailom sú nebezpečné.
Chcem sa dozvedieť ktorý registrátor .cz domien to nerobí.
Vopred ďakujem za tipy.

martin

Re:Ktorý registrátor neukladá plaintext heslá?
« Odpověď #11 kdy: 15. 12. 2011, 10:48:38 »
kolik takovych pripadu se jiz stalo?

zneužítí plaintext hesel v DB bylo nepočítaně...

Pokud nějaký chytrák navrhne a implementuje ukládání plaintext hesel, tak jaký si asi dá pozor na další nebezpečí html (xsite scripting apod.)?

Citace
jinak paranoidnimu cloveku bych obecne doporucil misto hledani nesmyslu vypnout pc, mobil a jit bydlet do lesa.

Takovou odpověď bych přisoudil právě potrefené huse.

Vy jste asi technik, že? Že vám řízení rizik nic neříká? Dost možná ani o těch rizikách nevíte. A právě proto technici nemohou nic řídit.

(Technikům je třeba vždy připomenout, že se nebavíme o výjimkách. :-))

nohous

Re:Ktorý registrátor neukladá plaintext heslá?
« Odpověď #12 kdy: 15. 12. 2011, 14:12:10 »
Vy jste asi technik, že? Že vám řízení rizik nic neříká? Dost možná ani o těch rizikách nevíte. A právě proto technici nemohou nic řídit.

(Technikům je třeba vždy připomenout, že se nebavíme o výjimkách. :-))

To jsou mi implikace.

gazda

Re:Ktorý registrátor neukladá plaintext heslá?
« Odpověď #13 kdy: 15. 12. 2011, 17:24:04 »
Ani registrátori onebit.cz a active24.cz na tom nie sú lepšie.

support@onebit.cz mi napísal:

Citace
Hesla jsou skutečně zasílána emailem. Pro zapomenuté heslo je však možné toto zasílání v administraci deaktivovat.
Hesla jsou na serveru uchovávána v nečitelné podobě, konkrétní způsob šifrování vám bohužel sdělit nemůžeme. Děkujeme za pochopení.

Pokiaľ sú zabudnuté heslo schopní poslať plaintext e-mailom, znamená to, že buď nešifrujú vôbec, alebo nešifrujú asymetricky.

V registračnom formulári active24.cz je voľba Povolit zasílání hesla: ano ne
To tiež znamená, že buď nešifrujú vôbec, alebo nešifrujú asymetricky.

to je jedno

Re:Ktorý registrátor neukladá plaintext heslá?
« Odpověď #14 kdy: 15. 12. 2011, 19:18:08 »
kolik takovych pripadu se jiz stalo?

zneužítí plaintext hesel v DB bylo nepočítaně...

bavime se o domain registratorech.