¿Cómo puede saber un sitio acerca de una contraseña no segura?

Navega tus respuestas
3

Hace poco recibí un correo electrónico de mi proveedor de alojamiento web que me informó que tenía una contraseña "insegura" en una de mis cuentas de correo electrónico y que tenía que cambiarla.

Su definición de lo que es una contraseña segura como contraseña que contiene: 

Mixed case - Always use a combination of uppercase and lowercase characters
Numbers - Always use a mixture of numbers and letters
Special Characters - At least one of the following special characters !"£$%^&*()-_=+{}#\@':;.>,<\|?
Length - Your password must be at least 8 characters long
Unique Characters - Your password must contain at least 4 unique characters

Mientras que sigo la política enlace de una contraseña muy larga (más de 40 caracteres y 166 bits de entropía (según KeePass).

Estoy intentando pensar cómo saben cuál es mi contraseña (para decirme los dígitos que no contiene) sin guardarla en texto sin formato.

La única "buena" idea que tengo es que la almacenaron cifrada y la descifraron, analizaron el texto sin formato en busca de "seguridad" y luego eliminaron el texto sin formato. Pero entonces no me gusta mucho esa idea, dado lo fácil que sería descifrar si el sitio estaba comprometido y la clave de cifrado probablemente también se haya tomado.

Mi otra idea fue que cuando ingresé mi contraseña y antes de agregarla y picarla, recopilaron algunas estadísticas del tipo de caracteres que contenía. Esto parece poco probable y también es algo malo.

¿Alguna otra idea de cómo pueden hacerlo?

    
pregunta fwgx 15.05.2014 - 20:18
fuente

3 respuestas

4

Su proveedor ve su contraseña con regularidad, cada vez que se conecta. Los detalles dependen de la tecnología:

  • En un Webmail , hay un sitio web y un navegador, y el navegador envía la contraseña al servidor (bajo la cobertura de SSL, con suerte). El servidor puede organizar una administración de sesión basada en cookies que permita que un navegador dado vuelva sin mostrar la contraseña per se . Sin embargo, si escribió la contraseña, entonces se envió. Además, el navegador moderno puede recordar contraseñas e ingresarlas automáticamente.

  • Con protocolos de correo electrónico no web, como POP y IMAP , la autenticación también puede ser del tipo "mostrar la contraseña". En particular, cuando configura la aplicación de correo electrónico en un teléfono inteligente, ingresa la contraseña y la aplicación la recuerda, y la envía al servidor para cada conexión posterior.

  • Hay protocolos de autenticación en los que la contraseña no se envía tal cual; en particular, APOP , utilizado por algunos servidores para la autenticación de la conexión POP. Sin embargo, tales protocolos utilizan una estrategia de desafío-respuesta, lo que implica que el servidor almacena la contraseña en sí (no solo una versión con hash).

Por lo tanto, es posible que el servidor no haya almacenado realmente su contraseña (como texto claro o en un formato reversible), sino que simplemente la inspeccione a medida que fluye durante el funcionamiento normal. También es igualmente posible que do almacene su contraseña; los síntomas no son suficientes para descartar cualquiera de las dos posibilidades.

En cualquier caso:

  • Las reglas de contraseña aplicadas son erróneas. Su contraseña real es mucho más fuerte que el promedio, y están equivocados al tratar de desalentar su uso. La fortaleza de una contraseña se basa exactamente en cuanto a lo desconocido para los atacantes (eso es lo que se llama "entropía"); no hay caracteres, como dígitos o signos de puntuación, que son intrínsecamente más fuertes que otros. Aparentemente, el administrador del sistema en el servidor no lo sabe.

  • La aplicación de reglas de contraseña es, en general, errónea. Las "reglas de contraseña" antagonizan a los usuarios. La seguridad solo se puede lograr con una fuerte cooperación , que se basa en educación y buena voluntad . Las reglas de contraseña son lo opuesto a lo que se debe hacer.

  • Enviar los detalles de la contraseña por correo electrónico es un delito de tiro.

respondido por el Tom Leek 16.05.2014 - 16:10
fuente
6

John the ripper es una herramienta de descifrado de fuerza bruta y diccionario de contraseñas que se ha utilizado durante muchos años para determinar las contraseñas de los usuarios. Algunas empresas y organizaciones lo utilizan para validar que los empleados utilizan contraseñas que cumplen con los requisitos de complejidad.

enlace

Es posible que hayan usado a John y hayan roto su contraseña.

También pueden almacenarlo con el cifrado reversible , y han analizado el texto sin formato de su contraseña. Esta es mala práctica y una sobre la que le advertiría; si lo hacen, no se adhieren a la práctica aceptada por la industria en esta área. ¿Dónde más no están siguiendo la forma preferida de hacer las cosas?

Es posible que hayan recopilado estadísticas cuando ingresó, y ahora han regresado y analizado esos datos. Esto es bastante difícil de manejar. Es más probable que utilicen una función o módulo o diccionario (por ejemplo, pam_cracklib.so) cuando intentaste crear la contraseña por primera vez; El sistema le diría que era inseguro en ese momento y en la mayoría de los casos.

Es difícil de decir exactamente, pero si regresan después del hecho, suena sospechoso.

Asegúrate de que no sea un correo electrónico de suplantación de identidad (phishing) ... no hagas clic en los enlaces, ve al sitio directamente a mano.

    
respondido por el 0xSheepdog 15.05.2014 - 20:29
fuente
2

Sospecho fuertemente que esto es una estafa. Es poco probable que alguien como este proveedor de alojamiento web haya descifrado su contraseña, especialmente si tiene 40 caracteres. Es mucho más probable que alguien intente que inicies sesión en un sitio falso para poder acceder a tu cuenta o infectarte con malware.

    
respondido por el GdD 15.05.2014 - 21:10
fuente

Lea otras preguntas en las etiquetas

Javascript que contiene una larga cadena hexadecimal y eval: ¿esto es sospechoso? ¿Cómo asegurar a mi cliente que mi software es una prueba de malware?