Recientemente descubrí que un sitio web que uso todos los días me permite saber mi contraseña de hash.
El proceso fue el siguiente:
- Vaya a "Eliminar cuenta" e ingrese su contraseña. La contraseña está marcada.
- Si la contraseña es correcta, aparecerá un formulario donde debe establecer por qué está eliminando su cuenta (en este momento, la cuenta aún no se ha eliminado). Hay una entrada oculta llamada
hashedPassword
que contiene lo que creo que es mi contraseña con hash. - Cuando valida el formulario, su cuenta se elimina.
Ya que primero debes ingresar tu contraseña para obtener la contraseña hash, no lo considero directamente una vulnerabilidad. Este proceso no me parece peligroso, incluso si me sorprendió un poco ver mi contraseña con hash.
Todo lo que puedo ver es que puede permitir al usuario descubrir el algoritmo de hash, o incluso permitirle encontrar la sal utilizada.
¿Es esta una mala práctica? ¿Es peligroso y cómo podría ser utilizado por un atacante de manera útil?