Intenté actualizar la contraseña de mi cuenta de Pokerstars hoy y se me presentó el siguiente error:
Mipreguntaes,quévulnerabilidadesdeseguridadpuedenestardetrásde"Su contraseña debe comenzar con una letra" y "puede que no comience con las letras 'tmp'".
¿Supongo que esto se debe a algún tipo de forma pirata de verificar las cuentas temporales (aún no activadas) de su lado? Si es así, ¿significa que lo están almacenando en texto plano? ¿Me estoy perdiendo algo aquí?
Si bien una respuesta definitiva solo puede provenir del origen del mensaje y de las restricciones, hay algunos puntos por hacer.
La idea general de restringir las contraseñas de tal manera (especialmente con la parte tmp) sugiere que algo no es como se supone que es e insinuando contraseñas de texto simple. Sin embargo, para beneficio de la duda, pueden usar un esquema de hashing especial que contiene los primeros tres caracteres de la contraseña por separado, lo que les permite verificar las contraseñas asignadas temporalmente.
Esto podría representar una amenaza, dependiendo de lo que venga después de la parte tmp : si solo son 5 números, el espacio de búsqueda para la enumeración de tales contraseñas es pequeño, por ejemplo.
En cualquier caso, esta restricción los insinúa a usar contraseñas para almacenar información que no pertenece allí (pero en un campo separado en la base de datos), y si bien no tiene que representar una amenaza por sí misma, implementa tales técnicas. es generalmente un signo de mala ingeniería de software.
Esto, por sí solo, puede suponer una amenaza: los desarrolladores de software incorrecto tienen más probabilidades de cometer errores en muchos niveles que solo esperan ser encontrados y explotados.
Cualquiera que sea la razón para que implementen esta restricción, es un signo de mala programación y / o un software o una base de datos incorrecta, y por lo tanto un signo de peligro; debe usar una contraseña segura y desechable y, básicamente, considerar que la cuenta comprometida está en el lado seguro.
Lea otras preguntas en las etiquetas passwords password-policy