<div dir="ltr"><div><div><div>Bernd what your saying is disturbing.<br>First, it completely contradicts what IINET rep wrote here<br>about needing to enter the full password for verification and not having access to plain text at all. so what you did with the rep on the phone is not suppose to be possible.<br>
Second, users shouldn't give their passwords to anyone not even part of it.<br></div>There were enough scams by people calling customers claiming they are company rep and asking the passwords of users. we don't need legitimate customer reps doing the same.<br>
</div><div>We can achieve much more better solution with single use tokens like Google Auth if you really want to take it to the next level.<br></div><div>But never do it with users passwords since you open yourself to a new vector of attack.<br>
</div><div><br></div>I'm buying the rest of IINET claims which are very noob level and I'm not their customer so I don't really care, but it seems like their doing something horribly wrong.<br><br></div>* And just for a jibs I don't  keep my passwords under a silo under mountain in fact here is one of my password stored hash that I already published to an online forum 3 months ago -<br>
<pre>$2y$10$Fs9R3YBV3w4ShisoXIWVUOZG.tZ9iW59bK6NFUylZOg0A.NegF66e</pre>If this is not secure you are welcome to publish this password here in the clear once you get it<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">
On Wed, Jul 30, 2014 at 1:11 PM, Bernd Felsche <span dir="ltr"><<a href="mailto:bf_plug@felsche.org" target="_blank">bf_plug@felsche.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="">On Wed, 30 Jul 2014 03:51:12 Krystin Dix wrote:<br>
<br>
> Passwords stored in the clear?<br>
><br>
</div>> Passwords are stored in a secure manner .. however yes they are<br>
<div class="">> retrievable. This is so that we can setup DSL services on clients<br>
> modems or other devices that require the same username without having<br>
> to change both the device (mail client) and the modem. Having to<br>
<br>
</div>Many moons ago, I had reason to call iiNet support and I was asked<br>
for the account password. Being an experienced security nerd I<br>
resolved the need to assure a shared secret by only supplying the<br>
first 3 characters of the password, then requiring that they supply<br>
the next 3, before I provided the rest.<br>
<br>
If a random person calls, the incorrect challenge doesn't<br>
necessarily invoke an overt denial; the response can be "invented",<br>
deceiving the unverified caller into having guessed the correct<br>
challenge and receiving a correct response.<br>
<br>
The process provided either party with the facility to bail out of<br>
the authentication process if either response failed and to<br>
(asynchronously) set the password to a true secret.  The first three<br>
characters were a challenge; the next 3 acted as a response and a<br>
counter-challenge with the remainder as the final response. Knowing<br>
only part of the secret doesn't result in an immediate compromise.<br>
<br>
Such challenge-response systems can be mechanised (obviously) so<br>
that the support desk people have to type in the challenge to see<br>
their response/challenge and then type in remainder of the shared<br>
secret; IFF the initial challenge was correct. An incorrect<br>
challenge can invoke automatic countermeasures (including phoney<br>
information) and extra logging.<br>
<br>
An advantage of such a system is that help desk personnel cannot<br>
"browse" passwords.<br>
<br>
A further extension (just mentioning this so that the obvious<br>
doesn't get Patented) is that the passwords don't actually have to<br>
be stored in their entirety to facilitate authentication via that<br>
shared secret. Hashes for parts of the password can be substituted<br>
in the help-desk fronting systems as sufficient. Only the response<br>
to the initial challenge need be in clear as the initial challenge<br>
(from the caller) can be hashed, as can their final response when<br>
typed in at the help desk.<br>
<br>
While that help desk person may be able to remember/note that<br>
particular account/password information in parallel with a call, the<br>
caller can immediately change their password if they feel<br>
particularly vulnerable.<br>
<br>
Forgotten passwords can be managed by escalation to e.g. reset the<br>
password or to view it to e.g. set up a new modem; upon receipt of<br>
additional identification and verification.<br>
<br>
Electronic invoices can make authentication of callers more<br>
difficult as the recipient doesn't necessarily download the invoice<br>
or print them. They may just leave them sitting on iiNet's servers<br>
(or delete them), so reference to account names, invoice numbers,<br>
etc becomes very difficult, even if the account holder is calling<br>
from home and their connection is down.<br>
<br>
<br>
P.S. The only place that I've heard of where passwords are stored in<br>
a secured manner is under a mountain in the USA; where there's a<br>
safe with 3 combination locks in a room without any lights, wires or<br>
pipes (just a door), an armed guard in the ante-room; another armed<br>
guard from a different arm of the defence forces in the ante-room to<br>
that corridor; electronic surveillance around the clock from two<br>
different locations around the clock (NONE in the safe room);<br>
automatic armoured doors along the and many checkpoints with armed<br>
guards all the way to the perimeter fence a couple of kilometres<br>
from the entrance to the mountain.<br>
<br>
One of the PINs written in a binder sitting in that safe is/was<br>
"7777777" (seven 7's). We all know that secret now.<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Bernd Felsche - Innovative Reckoning, Western Australia<br>
<a href="http://innovative.ii.net" target="_blank">http://innovative.ii.net</a><br>
</font></span><div class="HOEnZb"><div class="h5"><br>
_______________________________________________<br>
PLUG discussion list: <a href="mailto:plug@plug.org.au">plug@plug.org.au</a><br>
<a href="http://lists.plug.org.au/mailman/listinfo/plug" target="_blank">http://lists.plug.org.au/mailman/listinfo/plug</a><br>
Committee e-mail: <a href="mailto:committee@plug.org.au">committee@plug.org.au</a><br>
PLUG Membership: <a href="http://www.plug.org.au/membership" target="_blank">http://www.plug.org.au/membership</a><br>
</div></div></blockquote></div><br></div>