Qué hacer con los sitios web que almacenan contraseñas de texto sin formato

Navega tus respuestas
81

Hace poco recibí un correo electrónico de un popular sitio web de trabajo para graduados (prospects.ac.uk) que no he usado por un tiempo, lo que sugiere que uso una nueva función. Contuvo mi nombre de usuario y contraseña en texto plano. Supongo que esto significa que han almacenado mi contraseña en texto sin formato.

¿Hay algo que pueda hacer para mejorar su seguridad o eliminar por completo mis datos del sistema?

ACTUALIZACIÓN: Gracias a todos por su consejo. Les envié un correo electrónico, explicándoles qué estaba mal y por qué, diciendo que escribiré al comisionado de DP y los agregaré a plaintextoffenders.com.

Una hora después recibí una respuesta: un mensaje automatizado que contiene un nombre de usuario y una contraseña para su sistema de soporte. Oh cielos ...

    
pregunta jamesj 13.09.2011 - 20:18
fuente

12 respuestas

48

Realmente no hay mucho que puedas hacer, aparte de contactar con el sitio web e intentar explicarles qué tan mala es una idea y práctica es almacenar (y enviar por correo electrónico) las contraseñas en texto simple.

Una cosa que puede hacer es reportar cualquier sitio ofensivo a plaintextoffenders.com - un sitio (actualmente un blog tumblr, pero estamos trabajando en un sitio apropiado pronto) que enumera diferentes "delincuentes de texto sin formato": sitios que le envían su propia contraseña por correo electrónico, exponiendo así el hecho de que los almacenan en texto sin formato o utilizan un cifrado reversible, que es igual de malo.

Con todo lo que es sucedió con Sony , una y otra vez, las personas se vuelven más conscientes de los peligros de los sitios que almacenan detalles confidenciales sin cifrar, pero muchos todavía no lo están. ¡Hay más de 300 sitios reportados, con más informes todos los días!

Esperemos que plaintextoffenders.com ayude al exponer más y más sitios. Una vez que esto recibe suficiente atención en Twitter u otras redes sociales, a veces los sitios cambian de rumbo y solucionan el problema. Por ejemplo, Smashing Magazine y Pingdom ha cambiado recientemente la forma en que manejan las contraseñas, y ya no almacenan ni envían las contraseñas en texto sin formato.

El problema es la conciencia, y espero que ayudemos a la causa con ofensores de texto simple.

    
respondido por el Igal Tabachnik 13.09.2011 - 21:02
fuente
15

Almacenar una contraseña en texto sin formato no es realmente un problema, al menos, mucho menos que enviar dicha contraseña en un correo electrónico de texto sin formato.

Este correo electrónico solo demuestra que los administradores del sitio web no son muy cuidadosos con la información que les confía, y esa es una buena razón para no confiarles más datos.

    
respondido por el Thomas Pornin 13.09.2011 - 20:22
fuente
9

Use una contraseña diferente para cada sitio. De esa manera, cuando la contraseña se vea comprometida (ya sea por indagación en las transmisiones de correo electrónico de texto sin formato, o incluso si una base de datos con contraseñas con hash / hasted está descifrada), el atacante solo podrá acceder a su cuenta en ese sitio, en lugar de hacerlo en todos los sitios en los que tenga credenciales de cuenta similares.

... y, por lo tanto, no tiene que recordar un millón de contraseñas: PwdHash de Stanford es una útil extensión de navegador que genera contraseñas únicas automáticamente al incluir una contraseña común que ingresa con el dominio del sitio.

    
respondido por el smokris 14.09.2011 - 19:55
fuente
3

Es por eso que se recomienda utilizar otra contraseña en cada sitio.

Intente enviarlos por correo electrónico para eliminar su cuenta. De lo contrario, no use ese sitio y realmente, use / genere otra contraseña (¡y una larga!) En cada sitio en el que se registre. Nunca se sabe cuáles almacenan contraseñas simples en su base de datos

    
respondido por el genesis 13.09.2011 - 21:00
fuente
2

Envíeles un correo electrónico solicitando ser eliminado de su base de datos.

No les des más información sobre usted

Asegúrese de no tener esa contraseña en ningún lugar.

    
respondido por el woliveirajr 13.09.2011 - 20:25
fuente
2

Diría que, dado que la contraseña está disponible para que la vea todo el mundo, solo actualícela con una contraseña que no esté utilizando en ningún otro lugar. Por lo tanto, nadie puede piratear su información en ningún otro sitio utilizando la contraseña de este sitio. El ejemplo podría ser si su correo electrónico es su nombre de usuario y está usando la contraseña de este sitio como contraseña para su correo electrónico.

Aparte de eso, si desea ofrecer ayuda al sitio web con el almacenamiento efectivo de contraseñas y enviarles el enlace de este hilo de stackoverflow.

    
respondido por el pal4life 14.09.2011 - 02:32
fuente
1

Si está transmitiendo contraseñas en texto plano, es una "vulnerabilidad".

El primer paso es encontrar pruebas, como ejecutar Wireshark para capturar las contraseñas a medida que se envían por cable.

El segundo paso es ponerse en contacto con la empresa, por ejemplo, enviando un correo electrónico a "[email protected]". Las direcciones de correo electrónico "secure @" y "security @" son las cajas de correo electrónico que las compañías configuran si están preocupadas por tales descubrimientos.

Guarde las respuestas que reciba de la compañía.

Cuando sea obvio que la compañía no lo va a arreglar, publique un mensaje en la " revelación completa " lista de correo. Describe sucintamente el problema, muestra la prueba y muestra la respuesta.

Lea las publicaciones de correo electrónico en la lista de divulgación completa para ver cómo otras personas han hecho esto.

    
respondido por el Robert David Graham 03.02.2012 - 01:34
fuente
1
  1. No utilice un sistema que pueda probar que es inseguro si necesita que esté seguro.
  2. Póngase en contacto con la empresa / propietario responsable del desarrollo del sistema y comparta su prueba de su inseguridad.
  3. Si recibe una respuesta desfavorable de la compañía / propietario que equivale a que no están dispuestos a corregir el sistema para estar seguro a su satisfacción, vaya a otro sistema.
respondido por el Bernard 03.02.2012 - 02:02
fuente
1

¿Cuáles son las mejores prácticas para lidiar con ese sistema? :

No utilice ese sistema con información confidencial. Considere cuáles serían los problemas para usted si hay una fuga de datos, o si alguien comienza a usar el sistema con su inicio de sesión. Si es una situación prohibida, deje de usar el sistema.

[mejores prácticas para tratar] y los propietarios de ese sistema :

Registre su insatisfacción mediante el correo electrónico y cualquier otro medio de contacto: atención al cliente, llamada telefónica, correos electrónicos de contacto, foros, blogs, wikis ...

mientras minimiza el riesgo para usted a través del uso del sistema :

Si considera que usará ese sistema de todos modos, entonces no use la misma contraseña para ese sistema y cualquier otro sistema. Si no puede utilizar su correo electrónico como inicio de sesión, aún mejor.

o informe de los problemas relacionados?

las mismas respuestas le han dicho: registre todas sus quejas, deje de usarlas.

    
respondido por el woliveirajr 03.02.2012 - 12:39
fuente
0

Ya se ha sugerido cambiar la contraseña. Cambiándolo a "no almacene contraseñas en texto plano, ¡llámenos!" y luego enviarles un correo electrónico solicitando que elimine su cuenta y elimine todos los datos personales podría ayudar a que se escuche su mensaje.

Aparte de eso, las contraseñas en texto sin formato no son un gran problema, ya que incluso las bases de datos de contraseñas con hash pueden ser atacadas por fuerza bruta en un tiempo razonable en estos días, especialmente si los datos con hash no contienen sal .

    
respondido por el syneticon-dj 14.09.2011 - 17:14
fuente
0

¿Cuál es la diferencia entre almacenar y enviar por correo electrónico una contraseña de texto sin formato y enviar por correo electrónico un enlace único a una página para restablecer su contraseña cuando la olvida?

Supongo que si usa la misma contraseña en un sitio diferente, podría significar que un pirata informático puede ingresar a sus otras cuentas. O si rompen todo el sitio y se apoderan de la base de datos, e incluso entonces, ¿qué les impide obtener las sales utilizadas para cifrar sus contraseñas?

Enviar las contraseñas en texto sin formato (o que contengan un enlace único a un formulario de restablecimiento) por correo electrónico no hace ninguna diferencia en su capacidad para ingresar al sitio si el pirata informático tiene acceso a su correo electrónico. Básicamente, está atornillado a menos que el sitio tenga una política de solo enviar por correo las contraseñas cuando las olvide, o requiera un token de autenticación como el que ahora requieren los bancos de dispositivos de chip y pin.

    
respondido por el fwgx 06.02.2012 - 09:27
fuente
-5

No hay nada de malo en almacenar contraseñas de texto plano. De hecho, de alguna manera es la mejor solución.

  

[no] almacenar contraseñas en texto plano limita la seguridad de las comunicaciones.

     

es más seguro enviar contraseñas cifradas a través de la red y almacenarlas en texto plano en la base de datos, que enviar las contraseñas en texto simple a través de la red y almacenarlas cifradas en la base de datos.

     

En otras palabras, el servidor debe conocer la contraseña del usuario para admitir los mecanismos de autenticación más seguros.

fuente: ejabberd Book, capítulo Almacenar contraseñas en texto sin formato en la base de datos para seguridad ( enlace )

    
respondido por el user7610 08.12.2014 - 13:30
fuente

Lea otras preguntas en las etiquetas

ssltest: problemas de cadena: contiene el ancla ¿Debe terminarse SSL en un equilibrador de carga?