¿Es una práctica de seguridad aceptable mostrar la contraseña en texto sin formato en un sitio web?

Navega tus respuestas
1

Una vez que completé el proceso del Asistente de configuración de cuenta para un nuevo servicio de alojamiento de SiteGround, obtuve esta pantalla de confirmación en el sitio web: 

... just log in to your Wordpress control panel with the details below:
Admin URL: XXX
Username: XXX
Password: XXX

En lugar de XXX , en realidad había mi nombre de usuario y contraseña en texto sin formato.

Esto se entregó en una nueva página a través de HTTPS; El HTML de la página contenía: 

<p><span class="bold">Username:</span> XXX</p>
<p><span class="bold">Password:</span> XXX</p>

A partir de eso, llego a la conclusión de que no utilizan el hash de contraseña del lado del cliente. Me sorprendió; Pensé que era una práctica normal de la industria para servicios sensibles. ¿No es el caso?

Aparte de lo anterior, ¿hay algún problema de seguridad al mostrar la contraseña en texto sin formato? (Supongo que en realidad no lo guardan en texto sin formato en una base de datos, eso sería atroz; presumiblemente, solo se queda en la memoria de su servidor web, mientras se prepara la respuesta a mi solicitud POST; espero que esté bloqueada / salados antes de ser guardados en cualquier almacenamiento persistente).

Nota: NO incluyeron la contraseña de texto sin formato en la confirmación del correo electrónico; solo en una sola página web que solo está disponible después de que me haya registrado.

    
pregunta max 26.03.2017 - 00:05
fuente

1 respuesta

4

Sí, definitivamente hay algunos problemas:

  • Navegación por el hombro: hay una razón por la que los campos de contraseña usan estrellas. Es para que las personas que están cerca no puedan ver la contraseña. Mostrar la contraseña en texto sin formato en la pantalla obviamente lo anula, y este es realmente el principal inconveniente de este enfoque.
  • Almacenamiento en caché: el navegador puede almacenar en caché la respuesta. Establecer encabezados apropiados puede mitigar esto.
  • Reduce la seguridad percibida del sitio, lo que no es bueno. También puede tener un efecto psicológico negativo (si el sitio no tiene cuidado con la contraseña, ¿por qué debería serlo el usuario?).
  

no usan hashing de contraseña del lado del cliente. Me sorprendió; Pensé que era una práctica normal de la industria para servicios sensibles. ¿No es el caso?

No, el hashing del lado del cliente no es estándar, principalmente porque no agrega mucho.

La contraseña ya debería estar protegida en el transporte a través de HTTPS (y el hashing no aseguraría el transporte de todos modos).

Puede parecer que el hashing del lado del cliente podría convertir una contraseña débil en una contraseña segura (por ejemplo, password - > 5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8 ), pero cualquier atacante solo tendría que tener en cuenta el hashing del cliente y la cadena del cliente y el hashing del servidor al descifrar la contraseña.

    
respondido por el tim 26.03.2017 - 00:23
fuente

Lea otras preguntas en las etiquetas

¿Cuál es la mejor manera de realizar pruebas de penetración gratis con y sin software? [cerrado] ¿Cómo sabe el navegador web de un cliente si un sitio web es solo HTTPS?