¿Cómo saber si una aplicación web transmite mi contraseña en texto sin cifrar?

Hay dos razones para preguntar si su contraseña está encriptada:

1. Está preocupado por la seguridad del sitio.
2. Le preocupa la seguridad de su contraseña.

En cuanto a la seguridad del sitio, sin HTTPS, efectivamente no hay ninguno. Debe considerar todas las comunicaciones con el sitio como públicas y suponer que un atacante puede pretender ser usted. Solo usa el sitio con cuidado.

Con respecto a la seguridad de su contraseña, sin SSL, realmente no importa. Alguien puede robar su cookie de sesión y pretender ser usted sin saber su contraseña. Por lo tanto, asegúrese de no reutilizar la contraseña en otros sitios (o reutilizar cualquier contraseña) para evitar que la exposición de la contraseña en este sitio ponga en peligro sus cuentas en otros sitios.

Editar En respuesta a su inquietud sobre falsificación de ARP , sin SSL, puede ser Es posible que establezcan un MiTM . Una vez que hacen eso, pueden ver la cookie. Sin una inspección más profunda del sitio web, no puedo decirle si la cookie pierde su contraseña. Tal vez esté encriptado de forma segura, tal vez no. Dicho esto, una vez que tienen un MiTM, pueden alterar el JavaScript que se envía a su navegador. Esto les permitiría modificar lo que se envía en el cable, obteniendo así su contraseña. Y, aunque no puedo estar seguro sin un examen más detenido, esa cookie me parece un pasar la vulnerabilidad de hash . Si ese es el caso, entonces no hay necesidad de que roben su contraseña ya que el valor de la cookie es tan bueno como una contraseña. Todo esto se reduce a, sin SSL, no hay seguridad.

Lo que tienes allí es 232 dígitos hexadecimales, o 116 bytes de datos. No es una cadena de texto plano en ninguna codificación normal. Podría ser un hash de su contraseña, podría ser su contraseña encriptada, podría ser simplemente una especie de ofuscación fácilmente reversible. O podría ser algo completamente diferente de su contraseña, como un identificador de sesión. Podría ser cualquier cosa. Sin saber su contraseña o el código que usa la aplicación web, es difícil decirlo.

Pero si está preocupado por la seguridad de su contraseña cuando está en el cable , realmente no importa. Lo que importa es que use HTTPS. * Si usa HTTPS, todo lo que se envíe entre usted y el servidor se cifrará de todos modos. Si no lo hace, no hay manera de garantizar que un hombre en el medio no pueda robar su contraseña, independientemente del tipo de cifrado que intente hacer en el cliente.

Por lo general, el único cifrado utilizado al enviar una contraseña al servidor es el que proporciona HTTPS.

Dicho esto, mantener la contraseña en una cookie (más o menos en texto simple, encriptada, con hash o simplemente ofuscada) es una mala idea. Cualquier persona con acceso a su computadora podría robar la cookie, y si la cookie no es HTTP, solo se podría usar una vulnerabilidad XSS para robarla.

* Dado que es bueno HTTPS: que el certificado es válido, usa una versión moderna de TLS, etc., etc. Las mismas advertencias que siempre se aplican.

Cuando quiera escuchar la comunicación entre su navegador web y un servidor, a menudo puede hacerlo con las herramientas de desarrollo de su navegador web (tecla de acceso rápido habitual: F12). La mayoría de los navegadores tendrán algún tipo de pestaña de Red donde todas las comunicaciones de red entre el sitio web actual e Internet se registran en texto sin cifrar.

Cuando encuentre su contraseña de texto simple en cualquier lugar y no sea una conexión https, eso es una mala señal (cuando es https, el navegador le mostrará los datos sin cifrar, incluso aunque esté cifrado cuando se envía en el cable).

Pero incluso cuando encuentre una contraseña cifrada / cifrada allí, no sabrá si es una criptografía buena . Por lo general, solo puede saber mediante el uso de técnicas criptoanalíticas hasta que descubra cómo funciona el cifrado o si realiza una ingeniería inversa del código javascript en el sitio web para averiguar cómo funciona.

Así es como lo investigas normalmente. Si se trata de un hash de su contraseña, entonces puede probar su contraseña con la función de hash y comparar la salida. Esta cadena de hash particular (supuesta) tiene 232 dígitos hexadecimales, lo que equivale a 928 bits. Este es el tamaño exacto del número RSA-280, que se utiliza en el cifrado SHA-1 (junto con muchos otros números RSA, por lo que no puede estar seguro sin probar la función).

enlace

  

RSA-280 tiene 280 dígitos decimales (928 bits) y no se ha factorizado   hasta ahora.

Puede abrir el código fuente de la página web, tratar de encontrar el módulo que tiene algo que ver con SHA-1 (en este caso), luego encontrar la función de hashing dentro de él y luego ejecutarlo usando las herramientas de desarrollo del navegador o el nodo .js como esto:

console.log(hashingFunction('yourpass'))

Luego, solo vea si la salida tiene los mismos 232 caracteres. Tenga en cuenta que encontrar la función hash puede ser complicado, puede ser confuso, descargado mucho después de que se cargue la página, etc., y obviamente necesitará algo de conocimiento de JavaScript.

Hay dos posibilidades, tu contraseña está codificada o encriptada en esa cadena. Si se cifró, solo se puede descifrar con la clave definida en la aplicación web, que es bastante segura y requiere mucho tiempo para intentar romperla.