我的 ISP 在他们的公共网站上以纯文本形式显示我的 WiFi 密码。我应该担心吗?

信息安全 密码 哈希 无线上网 wpa2 网络服务商
2021-09-03 03:18:44

我最近注意到,当登录到可以在我的网络之外访问的我的 ISP (Spectrum) 公共外部站点时,我可以以纯文本形式看到我的家庭网络的 WPA2 密码。

这显然意味着他们至少没有散列密码。我的 wifi 有唯一的、随机生成的密码,所以如果他们的客户 WiFi 数据库被暴露,我面临的风险是有限的,但显然对大多数人来说并非如此。

我应该担心这个吗?或者有没有关于路由器wifi密码的东西可以不散列密码?

如果这里有问题,我如何向 Spectrum 施压以正确保护他们的密码?

4个回答

令我惊讶的不是密码以明文形式显示,而是您的 ISP 保留了您的 wifi 密码的副本。这不是他们为了向您提供互联网而需要做的事情。负责wifi的是路由器,所以只有路由器需要知道密码。

那么他们为什么选择这样做呢?我的猜测是,这是为了方便他们的客户,让他们以一种简单的方式提醒他们他们的 wifi 密码。散列密码会破坏存储它的全部目的,因为散列密码不能转回明文。

那么该怎么办?不要期望能够更改您的 ISP 的政策。最多,您可以惹恼客户服务中的某人。相反,我会选择使用强而独特的密码。如果这对您来说还不够好,您可以购买自己的 wifi 路由器来使用,或者作为唯一的路由器(如果可以的话)或作为连接到网关的第二个路由器。(我在这里假设他们会自动从路由器中获取密码,您不能简单地欺骗他们并给他们一个假密码。)

正如entrop-x建议的那样,您也可以更改 ISP。

感谢使用随机密码,而不是对所有内容使用相同的值。

正如其他人所说,在宏伟的计划中,这没什么大不了的。这真的是一个接近的事情。现在,也就是说,我在某种程度上处于偏执狂的状态,并且会担心,原因如下:

听起来您有一个由您的 ISP 提供和配置的网关设备。我在康卡斯特(“xFinity”)遇到过这个问题。我总是要求他们提供E-MTA他们总是对我不想要他们的网关设备感到惊讶(已经移动了几次......)。

我玩了一下他们的设备,因为我被它卡住了一段时间。当他们“安装”设备时,我和他们装傻,看看会发生什么。技术人员问钥匙应该是什么,并将其写在工单上。然后我们看到他们连接“X1”平台的一部分,允许对电视遥控器说话,并询问“我的 WiFi 密码是什么?”,然后瞧!那时,他们无论如何都会看到纯文本,即使我自己输入了。

我对所有这些的看法是,我认为这是一个公平的曝光水平。有许多访问点可以从中获取密钥,并且没有用于存储它们的合规标准(例如用于信用卡的 PCI,用于医疗记录的 HIPAA)。由于没有合规标准,虽然它会“引起一些关注”,但没有任何具体的地方可以“强制”他们加密、标记或以其他方式混淆值,无论是在静态(数据库)还是在传输中(系统之间,到电视,到您的浏览器)。

我们已经知道它们是您的地址和 Wifi 密钥之间的关系,因此映射部分完成。也许它就像SELECT * FROM CUSTOMER_WIFI. 现在,只需要有人上车。您认为您的 ISP 的任何人都住在附近吗?也许有一些员工想在周五晚上享受一些简单的技术乐趣?

只是一些思考的食物。

我应该担心这个吗?

是的。您的本地网络应该尽可能安全。更重要的是,您的 ISP 应该负责您的本地网络(这是您的责任,包括对您的设备的访问)和互联网(或多或少是狂野西部)之间的管道。

对于所有其他关于“只有亲近的人才能得到它”的答案,一旦它被泄露到互联网上,所有已经足够亲近的人——以及他们无聊的青少年和青春期前的孩子——将能够找到那个wifi密码。

或者有没有关于路由器wifi密码的东西可以不散列密码?

您的问题基于不正确的基本假设。如果网站要存储用于验证用户身份的密码,网站确实应该使用密码哈希算法;即无论他们的用户使用什么登录。

在您的情况下,ISP 正在存储您没有登录到他们的网站的内容;问题不在于他们存储它的方式,问题是你如何阻止他们完全存储它,因为他们根本不需要拥有它。

请注意,这对于 wifi 密码来说是三重正确的 - 与良好的存储加密密码不同,如果您丢失密码,则会丢失数据,如果丢失 wifi 密码,您只需在接入点/路由器和您的设备上重置它,它的附带好处是让其他所有人都无法再进入(如果你做得对的话)。

如果这里有问题,我如何向 Spectrum 施压以正确保护他们的密码?

你如何给 Spectrum 施压?你去另一个不保留你的 wifi 密码的 ISP,并告诉 Spectrum 你为什么要离开。

您如何解决他们不应该使用密码的问题?您购买自己的接入点,或接入点 +防火墙,或家庭 wifi 路由器/“防火墙”,将 Spectrum wifi 密码更改为长且随机的密码,然后完全禁用 Spectrum wifi,仅使用您自己的设备,最好是在您自己的设备后面防火墙保护您免受 Spectrum 的侵害。

他们有你的wifi密码可能没什么大不了的。

Wifi 密码只对附近的人有用,因此即使大部分从数据库中泄露,也不希望能够方便地被利用,也就是说,如果你不被认为有价值的话。

如果您有唯一的网络 SSID 或您的物理地址与它一起存储,那么在发布转储的情况下,本地人可能会攻击您,但您附近可能有足够多的不安全或“密码 1”安全网络,没有人会打扰。

更令人担忧的是,您在 Spectrum 的帐户很可能与信用卡信息等其他个人数据相关联。

但是令人担忧的是,他们获得了您的 wifi 密码。

这个密码是如何出现在他们的数据库中的?如果您没有将其提供给他们,则您的路由器提供了,这意味着它正在向您报告,并且可能意味着他们可以远程访问它。如果他们这样做,那么登录被释放是令人担忧的,因为它可能被任何地方的任何人利用。

其它你可能感兴趣的问题
上一篇JWT:在 HMAC 和 RSA 之间进行选择 下一篇2FA:为什么不使用字典短语而不是数字?