Hardware Upgrade Forum

Hardware Upgrade Forum (https://www.hwupgrade.it/forum/index.php)
-   Servizi di hosting e componenti per siti web (https://www.hwupgrade.it/forum/forumdisplay.php?f=133)
-   -   Hosting provider che salva le password in chiaro?? (https://www.hwupgrade.it/forum/showthread.php?t=2916280)


utente12345 28-06-2020 14:33

Hosting provider che salva le password in chiaro??
 
Buongiorno a tutti,

vorrei chiedervi un parere personale/professionale sulla criptazione o meno delle password da parte degli hosting provider.

Ho un web hosting presso mochahost.

Come servizio in generale è buono e costa poco però ho dei fortissimi dubbi sulla sicurezza dei miei dati che ho fornito a loro.

In fase di registrazione del servizio, dopo il pagamento, mi è subito arrivata l'email di benvenuto con tutte le istruzioni e i dati di login che ho scelto... con la password da me inserita mostrata in chiaro nell'email!

Quando chiedo loro assistenza via live chat mi chiedono spesso la password del mio cPanel per fare i controlli (che non ho mai fornito).

Inoltre, quando chiesi supporto in live chat, il loro operatore aprì un ticket di supporto e mi arrivò l'email con tutte le info del problema e in aggiunta anche le mie credenziali di accesso completamente in chiaro! Questa mail, oltre a me, ovviamente la vedono tutti i loro dipendenti.

Quindi vi chiedo, la mia preoccupazione è infondata?
A quanto ne so, una delle prime regole base di sicurezza è salvare le password criptate e neanche il sito a cui mi registro la dovrebbe conoscere, tantomeno diffonderla per email o chiederla via chat.

Che ne dite?

Grazie a tutti in anticipo.

Ecco un estratto dell'email:
Quote:

The following information is provided by the customer in the LiveChat:

1) Main Domain name: miodominio.it
2) Issue: problema
3) Exact Error Message:
dettaglio di errore mostrato dal cPanel
4) Reproduction steps: cPanel -> sezione -> ecc
5) Additional notes:
Username: mio user
Password: mia password in chiaro
Server: indirizzo del mio server presso di loro

Sincerely,
...
Customer Service Team
...
La loro risposta alla mia email di richiesta spiegazioni:
Quote:

Our system use encryption in our ticketing system and even mails are encrypted over SSL/TLS connection

Everlind 02-07-2020 13:41

Ciao,

la password viene scritta in chiaro nella maggior parte delle email di benvenuto del servizio, non ci vedo nulla di strano.

Che poi ti vengano richieste le credenziali come sorta di verifica ogni volta che chiedi assistenza via chat, quello è un qualcosa che dipende da come è organizzata la compagnia hosting dove hai acquistato il servizio. Alcune potrebbero farlo, come altre no.

Inoltre, ci sono molti altri casi dove si da la password di cPanel, dell'FTP all'operatore quando si sta cercando di risolvere un problema; se proprio hai timore ricambiala ogni volta dopo che hai richiesto assistenza in modo di tenerla oscura anche al dipendente.

Tieni anche conto, che non è solo una questione di password. Ok a far attenzione a darla a terze persone ma qui stai parlando dell'azienda dove hai acquistato il servizio e che si presuppone faccia i tuoi interessi. E comunque, con le tecnologie attuali utilizzati dal 99% degli Hosting, tutti gli accessi sono registrati e monitorati a livello server, con orari, indirizzi IP, file di log, etc.

utente12345 02-07-2020 20:33

Facendo un paragone con Google, non hanno mai chiesto la password a nessuno, la criptano e anzi ricordano sempre di non fornirla mai a nessuno...

Il fatto che dici che molti servizi mandano la password in chiaro alla prima iscrizione non sono d'accordo.
A tutti i servizi/siti/istituzioni/ecc a cui mi sono iscritto negli ultimi 20 anni (che saranno oltre 30), solo due o tre hanno mandato la password in chiaro, tra cui mochahost.
Per questo la cosa mi sconcerta abbastanza.

Quote:

Ok a far attenzione a darla a terze persone ma qui stai parlando dell'azienda dove hai acquistato il servizio e che si presuppone faccia i tuoi interessi
Lo penso anche io ma finché la mia password resta in chiaro nei loro sistemi e a conoscenza dei loro dipendenti è una cosa, quando la inviano alla mia email allora secondo me è più pericoloso perché basta accedere al mio pc per ottenere la password e di conseguenza poter accedere a tutti i file del mio hosting. (ovviamente ho la password di sicurezza sul pc, ma sarà sempre meno protetto di un server aziendale professionale).

Everlind 03-07-2020 10:39

Probabilmente sarebbe più sicuro e corretto mandarla criptata ma ti assicuro che anche molti altri Hosting alla prima iscrizione la mandano in chiaro.

In teoria dovrebbero accedere prima al tuo pc e dopo entrare anche all'interno della tua casella e-mail (se hai timore modifica la password di registrazione in modo che non coincida con quella dell'email di benvenuto).

utente12345 03-07-2020 10:49

Grazie.

Vorrei anche il parere di qualcun altro.

Cosa ne pensate?


Tutti gli orari sono GMT +1. Ora sono le: 11:20.

Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd.
Hardware Upgrade S.r.l.