Si un sitio web permite que otra persona obtenga una lista de las contraseñas de los usuarios del sitio, ¿qué tan probable es que las contraseñas se almacenen en texto simple?

Navega tus respuestas
18

Tuvimos un incidente en el que a algunos de nuestros gerentes se les dieron contraseñas para las personas que supervisan usando el sitio web de una compañía en particular. Aparentemente, se hizo para que los gerentes puedan controlar a los usuarios y ver que están haciendo lo que se les ha ordenado hacer con este sitio web de terceros.

Cuando descubrí que una lista de las contraseñas se imprimió y se entregó a los gerentes, inmediatamente pensé que las contraseñas en el sitio web comercial no se almacenaban de manera segura y advertí a los usuarios que deberían cambiar de inmediato contraseñas que casi coincidían con sus cuentas "desechables"; También me temo que, al ser personas típicas, hay un número de personas que usaron la misma contraseña en ese sitio que utilizan con nuestro sistema interno de contraseñas, por lo que no tuvieron que recordar más de una contraseña. También me sorprendió que a los usuarios no se les advirtiera que sus contraseñas se distribuirían a otras personas / supervisores.

Fui al sitio web en cuestión y hice clic en el enlace de su política de privacidad; devolvió un error 404.

  1. ¿Estaba siendo paranoico?

  2. ¿Cuáles son las posibilidades de que el sitio web comercial esté almacenando sus contraseñas en claro si un administrador es capaz de recuperar una ¿Lista de contraseñas de texto simple?

pregunta Bart Silverstrim 28.09.2011 - 15:25
fuente

4 respuestas

21

No, no eres paranoico. Es muy probable que las contraseñas se almacenen como texto sin formato en la base de datos (es la explicación más obvia). Algunas estimaciones dicen que 30% de los sitios web almacenan (o han almacenado) las contraseñas de sus usuarios en texto sin formato. Los ejemplos incluyen Reddit.com o RockYou.com. Por lo general, solo después de producirse una infracción grave, los procedimientos de almacenamiento de la contraseña se ponen a prueba.

A menudo, los sitios que almacenan contraseñas en texto sin formato le ofrecerán la posibilidad de volver a enviar la contraseña anterior una vez que la haya olvidado. Eso demuestra bastante esta práctica insegura.

Existe la posibilidad de que las contraseñas se almacenen cifradas y se hayan descifrado para el informe, pero es una práctica poco frecuente. Incluso si las contraseñas están cifradas, siempre habrá un problema de almacenamiento de claves, ya que la aplicación probablemente necesitará acceder a la clave de descifrado para autenticar a sus usuarios.

Por supuesto, lo que debe hacer para la aplicación es salt y hash las contraseñas .

    
respondido por el Krzysztof Kotowicz 28.09.2011 - 15:47
fuente
9

El problema no es almacenar las contraseñas de forma clara, sino almacenar las contraseñas en cualquier formato fácilmente recuperable. Las contraseñas claras son el ejemplo más fácil de eso.

Cualquier contraseña que se pueda enviar a un administrador es, por definición, recuperable, y ¿quién sabe a quién más le enviarán su contraseña?

    
respondido por el Kevin 28.09.2011 - 17:07
fuente
8
  1. No
  2. 100%

Esto suena como uno de esos retrocesos al peor diseño posible. Los gerentes deben tener permisos para ver el trabajo de los empleados, pero eso requiere que el sitio admita un modelo de permisos adecuado. Los administradores deben poder ver un registro de actividad, pero eso requiere que el sitio admita niveles útiles de registro y tenga una interfaz de presentación decente. Dado que esas cosas requieren trabajo, en vez de eso, simplemente han entregado contraseñas. Eso es realmente la liga de Bush.

Al menos el sitio web es honesto en un sentido; su política de privacidad es 'no encontrada'.

    
respondido por el gowenfawr 28.09.2011 - 15:39
fuente
3

es posible que utilicen cifrado asimétrico para almacenar las contraseñas y mantuvieron la clave privada muy segura (una unidad USB en la caja fuerte del administrador) y usaron la clave pública como parte del "hash" de una manera para almacenarla en la base de datos y verificalo

pero realmente quién pensaría hacer eso; es más fácil usar un hash real o un cifrado simétrico (casi tan malo como el texto sin formato) en ese caso

    
respondido por el ratchet freak 29.09.2011 - 01:26
fuente

Lea otras preguntas en las etiquetas

¿Existe una verdadera alternativa al uso de imágenes CAPTCHA? Corregir la terminología al describir la seguridad de la contraseña para el lego