La BSI (Oficina Federal para la Seguridad de la Información) en alemán claims para obtener una lista de 18 millones de direcciones de correo electrónico y contraseñas: se supone que es el resultado de la identidad de Theft.
Permiten verificar si su propia dirección de correo electrónico forma parte de esta lista (o de una más antigua), que funciona así:
- Ingrese una dirección de correo electrónico en enlace
- Después del envío, muestran un código de cuatro dígitos.
- Si la dirección de correo electrónico ingresada NO forma parte de la lista: no pasa nada.
- Si la dirección de correo electrónico ingresada es parte de la lista: BSI envía un correo electrónico a la dirección ingresada, que
- está firmado con su clave OpenPGP, y
- contiene el código de cuatro dígitos en la línea de asunto.
- (El correo no contiene la contraseña).
La firma OpenPGP y el código en el asunto aseguran que el correo electrónico realmente proviene de BSI (los phishers ya envían correos electrónicos con el nombre de BSI).
Pero además de eso, ¿es este proceso realmente una buena práctica?
Por lo que puedo ver, tiene dos problemas:
- No se sabe si la lista contiene inicios de sesión para proveedores de correo electrónico o para otros sitios (tiendas, etc.). Pero si estos serían inicios de sesión para las cuentas de correo electrónico (o si la gente usa la misma contraseña allí), los ladrones podrían controlar la cuenta de correo electrónico y filtrar cualquier correo electrónico proveniente de BSI, ¿verdad? Por lo tanto, estas personas nunca notarán que sus datos están contenidos en la lista de BSI.
- Por lo tanto, las personas que no reciben un correo electrónico no pueden estar seguros de si sus datos no están en la lista o si el correo fue interceptado (a menos que cambien su contraseña antes de ingresar su dirección de correo electrónico en la prueba).
- Y como no envían la contraseña contenida en la lista, los usuarios (que usan contraseñas únicas para cada sitio) no pueden saber cuáles de sus cuentas se ven afectadas (→ muchos sitios usan la dirección de correo electrónico como nombre de usuario).
- Para que las personas tengan que cambiar sus contraseñas en los sitios todos usando su dirección de correo electrónico como nombre de usuario.
Estoy en lo cierto? ¿O hay buenas razones por las que lo manejan así?
¿Se podría mejorar el proceso? ¿Existen prácticas recomendadas para este tipo de situaciones en las que participan datos de muchos servicios diferentes (y no solo de un único proveedor)?