El inicio de sesión del correo electrónico acepta una contraseña incorrecta si todo es correcto, excepto el último dígito

3

Una pregunta rápida: preguntarse si se trata de una práctica de seguridad aceptada o por qué sería posible. Utilizo un correo electrónico de Shaw.ca (un proveedor de servicios canadiense) y accidentalmente escribí mi contraseña. Hice clic en entrar y todavía pude iniciar sesión. Después de algunos experimentos, descubrí que si escribía mal el último carácter del inicio de sesión, mi información era aceptada. Por ejemplo, si mi contraseña es Example123 , entonces Example124 , Example12u y Example12 # se aceptarán. Otros personajes cambiados no tienen una diferencia. ¿Alguna idea de por qué este sería el caso?

    
pregunta Jason 10.07.2016 - 07:33
fuente

2 respuestas

8

No, esto no es una práctica de seguridad aceptada. Pero probablemente no sea el único servicio que corta silenciosamente la contraseña ingresada después de un número fijo de caracteres. Echa un vistazo a su documentación si documentan este comportamiento. Si este es un comportamiento, si no está documentado, contáctelos para que solucionen este comportamiento o al menos hagan evidente este mal comportamiento para los usuarios.

    
respondido por el Steffen Ullrich 10.07.2016 - 07:55
fuente
5

Este usaba para ser una práctica común a finales de los 70 y principios de los 80. En aquel entonces, los sistemas UNIX truncaban las contraseñas de los usuarios a 8 caracteres antes de cifrarlas. Los sistemas operativos más nuevos utilizan algoritmos que no representan un límite (razonable) en la longitud de la contraseña, pero algunos sistemas operativos aún admiten el antiguo método de cifrado para la compatibilidad con versiones anteriores. Eso significa que el sistema de correo electrónico es uno de estos:

  • Es realmente tan antiguo y nadie se molestó en cambiar el método de cifrado de contraseña (en su defensa: cambiar el método de cifrado de contraseña sin que todos los usuarios restablezcan sus contraseñas a menudo no es tan fácil de hacer)
  • Se configuró erróneamente por error.
  • Fue intencionalmente mal configurado por alguien que cree que el antiguo método es lo suficientemente bueno y que el nuevo sería un desperdicio de recursos (lo cual es ridículo, pero he conocido a personas que piensan de esa manera).

Conclusión: Consigue un mejor proveedor de correo electrónico. Cuando alguien controla su cuenta de correo electrónico, a menudo les permite restablecer la contraseña para cada servicio en línea que está utilizando. Por lo tanto, es demasiado importante dejarlo en manos de personas que no saben lo que están haciendo en cuanto a seguridad.

    
respondido por el Philipp 10.07.2016 - 13:18
fuente

Lea otras preguntas en las etiquetas