¿Por qué algunas compañías grandes todavía almacenan contraseñas en formato de texto sin formato / descifrado? [cerrado]

4

En las últimas semanas he encontrado dos compañías bastante grandes que parecen no tener una seguridad de contraseña estricta:

  1. Tesco: almacenan las contraseñas en un formato "encriptado", pero pueden descifrar la contraseña y luego enviarla por correo electrónico cuando haces clic en "Olvidé mi contraseña"
  2. Plusnet: vuelven a almacenar las contraseñas en algún formato de texto sin formato / cifrado, pero las descifran y se las muestran cuando hace clic en "He olvidado mi contraseña". No es tan malo como Tesco, no le envían la contraseña por correo electrónico, sin embargo, envían un enlace de "recuperar contraseña" y al hacer clic en eso, se abre una ventana del navegador que muestra su contraseña en texto plano (sin duda, a través de una conexión https).

Mi pregunta es, ¿cuál es la razón detrás de esto? Tanto Tesco como Plusnet están almacenando los detalles de la tarjeta de crédito del cliente, por lo que seguramente la seguridad debería estar en la vanguardia de su mentalidad.

Quiero saber si estoy equivocado al creer que están almacenando las contraseñas de forma insegura. ¿Tendrán procesos, políticas y tecnologías implementadas que hagan que esta situación sea lo suficientemente segura como para que la forma en que almacenan sus contraseñas sea trivial?

¿Tendrán un cifrado especial de dos vías que no puedan ser descifrados por piratas informáticos? p.ej. ¿De la misma manera que https, o el trabajo de la API con una clave privada?

¿Tendrán la seguridad adecuada en sus bases de datos para que esto nunca sea un problema, los hackers nunca tendrán acceso a los datos? (A juzgar por linkedin, sony y yahoo, ¡esto siempre va a ser un problema!).

¿O tengo razón al creer que está mal, y si es así, por qué? ¿La empresa es ignorante? es decir, no entienden / saben que lo que están haciendo está mal? ¿Son arrogantes? es decir, piensan que nadie los hackeará nunca? ¿O es algo más?

Gracias.

    
pregunta Thomas Clayson 20.08.2012 - 17:18
fuente

1 respuesta

3

Hay muchos problemas aquí.

Primero, muchas empresas simplemente no ven esto como una vulnerabilidad. Piensan que la encriptación es suficiente y piensan que no son realmente un objetivo de todos modos. No se darán cuenta de que están equivocados hasta que alguien entre en su base de datos y robe todas las contraseñas que almacenaron.

A continuación, hay algunos problemas de conocimiento. ¿Cómo almacenar de forma segura las contraseñas? Hacer sal y hacer hash con MD5 / SHA como usted mencionó en realidad no es no seguro. Debe usar algoritmos de hashing adaptativos como bcrypt . Muchos desarrolladores simplemente no saben la forma correcta de hacer esto, especialmente porque el método más seguro cambia con bastante frecuencia.

También está el tema de la usabilidad. Si hash la contraseña, no puedes ofrecer a tus usuarios la posibilidad de recuperar su contraseña. La mayoría de los usuarios no se dan cuenta de que esto es una vulnerabilidad y quieren esto como una característica. Las empresas probablemente valoran la usabilidad sobre la seguridad. Esto se remonta a las compañías que piensan que no son un objetivo, por lo que no necesitan molestarse en agregar todas estas características de seguridad. También diseñar un restablecimiento de contraseña adecuado no es trivial para hacerlo bien.

    
respondido por el Oleksi 20.08.2012 - 17:23
fuente

Lea otras preguntas en las etiquetas