Devo me preocupar se meu provedor de hospedagem Git armazena senhas em texto simples?

Navegue suas respostas
0

Eu encontrei um comentário no Reddit sugerindo que o ProjectLocker, um host gratuito do Git, armazena suas senhas em texto simples.

Eu não sei

  • (a) se isso for verdade
  • (b) como verificar ou
  • (c) quão preocupado eu deveria estar se estiver correto.

Isso poderia significar que seria fácil para alguém entrar em um dos meus repositórios de código privado?

    
por S. Michaels 25.09.2009 / 16:24

3 respostas

8

Eu trabalho no ProjectLocker e gostaria de adicionar um pouco de clareza a este tópico. Primeiro, para responder às perguntas do OP:

a) Esse boato não é verdade. O ProjectLocker não armazena senhas em texto simples.

b) Você não pode verificar isso para o ProjectLocker ou qualquer outro site sem acesso aos seus sistemas de back-end.

c) Eu ficaria bastante preocupado. No entanto, eu ficaria muito surpreso ao descobrir que qualquer uma das principais hospedagens do Subversion ou sites de hospedagem do Git armazenam senhas em texto puro. É apenas uma má ideia.

Incidentalmente, todo o acesso ao Git no ProjectLocker usa autenticação de chave pública e nenhuma senha.

Como outros apontaram, o ProjectLocker permite que os usuários recuperem senhas perdidas. Fazemos isso armazenando senhas criptografadas com uma função bidirecional. (Se você marcar a caixa "salvar este cartão para depois" em um site de comércio eletrônico, seu cartão de crédito será armazenado dessa maneira. A mesma coisa vale para sites de assinatura que cobram periodicamente, como o Netflix.) Em geral, tratamos senhas como confidenciais dados, como cartões de crédito ou artefatos do cliente (código, etc.). Há um debate filosófico justo sobre se os sites devem armazenar senhas em formato recuperável, mas os comentários de nossos usuários indicaram que eles preferem senhas recuperáveis.

Quanto à postagem no Reddit, posso dizer que o pôster nunca funcionou no ProjectLocker e não tem conhecimento real de nossos sistemas de autenticação. O autor provavelmente não está familiarizado com funções bidirecionais e confunde erroneamente "reversível" com "texto simples".

Por fim, se você estiver pensando em hospedar seu código com terceiros e não confiar em suas respostas a uma pergunta como essa, definitivamente não deve armazenar seu código lá. Se você não confia em seu host, não deve usá-los, independentemente de como eles armazenam sua senha.

    
por 25.09.2009 / 20:20
2

Se for verdade, é um risco de segurança, pois qualquer pessoa com acesso (ou que possa acessar por algum meio) poderá ler sua senha.

Você pode sempre perguntar ao ProjectLocker se o comentário no Reddit é verdadeiro. Se você acredita que a resposta deles é sua.

No entanto, não sei se é verdade ou não.

    
por 25.09.2009 / 16:27
1

Uma maneira de verificar se isso é verdade é fingir que você esqueceu sua senha. Se o host informar sua senha atual em vez de redefini-la e fornecer uma senha temporária, você terá a prova de que ela é armazenada em texto simples.

editar : O comentário de Joshua está certo: isso não é prova definitiva de que eles estão armazenando sua senha em texto simples, mas é uma prova de que eles estão armazenando sua senha em um formato reversível.

É mais seguro armazenar um hash unidirecional salgado da senha. É trivial para hash sua entrada e compará-lo com o hash armazenado, mas impraticável para qualquer um fazer engenharia reversa do hash para obter sua senha. É por isso que a maioria dos sites envia uma estranha senha aleatória quando você a perde: eles não sabem mais qual é a sua senha, então precisam redefini-la para algo que sabem.

Se o ProjectLocker armazenar sua senha em um formato reversível, haverá diversos graus de preocupação. Funcionários descontentes não são o único perigo; Se um invasor conseguir obter um despejo de banco de dados e puder determinar a maneira de decodificar as senhas (se puder obter um despejo de banco de dados, ele provavelmente obterá o código-fonte), ele terá muitas senhas. Se você usar um nome de usuário e uma senha que não usa em nenhum outro lugar para esse site, o pior que eles podem fazer é atrapalhar sua conta do ProjectLocker. No entanto, muitas pessoas usam o mesmo nome de usuário e senhas semelhantes para muitos sites diferentes; se você fizer isso, o armazenamento da senha em um formato reversível coloca você em um grande risco.

Na minha opinião, se a senha que você usa no ProjectLocker não for semelhante às senhas que você usa em outros sites, não se preocupe muito. No entanto, valeria a pena expressar uma reclamação, pois é muito mais provável que um pequeno lapso na segurança possa levar alguém a acessar sua conta.

    
por 25.09.2009 / 17:06

Tags

Como pesquisar a ocorrência de uma palavra e a ausência de outra usando grep Usuários do Xbox ocupam minhas cafeterias WiFi aberto