A primera vista, PTO parece una buena idea para educar a las personas sobre la seguridad de las contraseñas.
Por otro lado, si fuera un atacante, PTO sería el primer lugar donde comenzaría si quisiera comenzar a recopilar una lista de contraseñas de texto simple.
Este es el debate de divulgación de vulnerabilidad : cuando encuentre una vulnerabilidad, ¿qué hace? hacer con eso? Traerlo a la vista del público de inmediato puede considerarse como "ayudar a los atacantes"; sin embargo, discutirlo en privado con los operadores o proveedores de los sistemas afectados puede volverse desagradable; en particular, algunos proveedores o propietarios de servidores son propensos a considerar cualquier advertencia privada como un intento de extorsión y llamar a la policía.
Algunos investigadores de seguridad quieren dinero de su trabajo; muchos otros quieren fama; bastantes quieren ambos. Publicar el problema de seguridad de inmediato es de responsabilidad cuestionable, pero es "más seguro" para el investigador y tiene la mayor probabilidad de obtener fama (y la menor probabilidad de traer dinero).
Para agravar el problema, está la idea de que un "delincuente de texto simple" es un sitio diseñado y administrado por personas que solo tienen conocimientos prácticos de seguridad de la información; por lo tanto, no se puede esperar que reaccionen con la prontitud técnica y el respeto mutuo que podrían inducir un resultado feliz (el investigador obtiene el dinero y la fama, la vulnerabilidad está solucionada, el propietario del servidor aparece como un administrador de seguridad bueno y eficiente cuestiones). Desde el punto de vista de un investigador honesto, tales sitios parecen tener problemas. Puedes tener una charla técnica tranquila con Google o Microsoft; con un sitio que almacena contraseñas de texto simple (y, la mayoría de las veces, las envía por correo electrónico), el drama es una posibilidad definitiva.
Como han señalado otros, el almacenamiento de contraseñas en texto sin formato no hace que los ataques sean más probables ; los hacen más devastadores cuando ocurren. Los objetivos no son más fáciles, sino más jugosos. En ese sentido, la PTO no ayuda realmente a los atacantes .
(La estrategia general de PTO es darse a conocer al público en general para poder ejercer cierta presión sobre los propietarios del sitio, lo que finalmente resulta en una red más segura. Eso es educación a través del punto y la vergüenza, en teoría debería trabajo en un mercado libre capitalista, los clientes son la fuerza máxima. Sin embargo, no creo que la PTO haya alcanzado ese nivel de fama todavía, por lo general, necesitan un logotipo, un sitio web más limpio, videos promocionales y respaldo. por George Clooney, al menos.)
En realidad no.
Saber que example.com es un ofensor de texto simple no me ayuda mucho en las cuentas que comprometen en masa para ese sitio web. Yo podría intentar comprometer su enrutador de peering para detectar todos sus correos electrónicos salientes, pero eso sería bastante difícil, ya que es probable que ese enrutador esté bien protegido. Tratar de atacar su propio sitio web es probablemente más prometedor.
Los escenarios de ataque más plausibles que se hacen posibles a través de los delincuentes de texto simple se dirigen al usuario individual y a todos los sitios web que utilizan, no a todos los usuarios del servicio individual. Cuando un atacante puede leer la comunicación de correo de un usuario privado (mucho más plausible que con un sistema administrado profesionalmente), puede obtener sus credenciales de inicio de sesión para todos los servicios de infracción de texto simple en los que se registran. Eso significa que un atacante preferiría estar interesado en encontrar usuarios vulnerables para poder obtener inicios de sesión en sitios web aleatorios, en lugar de encontrar un sitio web vulnerable para obtener inicios de sesión de usuarios aleatorios.
Además, descubrir qué sitios son PTO es trivial: solo tienes que registrar una cuenta y lo sabes. El registro completamente automático de la cuenta es algo que los spammers obtuvieron con una eficacia espantosa.
Estoy de acuerdo con la idea de que todo el conocimiento puede ser usado tanto para el bien como para el mal, pero en el caso de PTO, honestamente creo que su objetivo principal es "avergonzar" los sitios que almacenan las contraseñas de los usuarios en texto sin formato y, por lo tanto, ponen a los usuarios en un riesgo de seguridad.
Como mencionan en el sitio, incluso si el usuario era lo suficientemente inteligente y creó la contraseña más segura posible, si el sitio web lo almacena en texto sin formato o utiliza un cifrado fácilmente reversible, es vulnerable.
Creo que se trata de educar a las personas sobre la seguridad de las contraseñas, pero también criticar o avergonzar a los sitios web que no toman las precauciones necesarias para proteger la información de la cuenta de sus usuarios.
Lea otras preguntas en las etiquetas passwords