Intento de inicio de sesión registro de contraseña y ofuscación

Question

Intento de inicio de sesión registro de contraseña y ofuscación

#1 de Little Code (2 votos)
#2 de Fofz (2 votos)

1

Tengo una aplicación de terceros que registra la contraseña de cada intento de inicio de sesión (independientemente del éxito o el fracaso). ¿Es esta una operación estándar y realmente sirve para algún propósito de seguridad significativo? No en un escenario especial de honeypot, sino en una aplicación comercial estándar.

Además, esta implementación parece una ofuscación totalmente insegura ... ¿existe un enfoque estándar que produzca este resultado?

552A26043B56E619 - computer
752A26043B56E619 - Computer
5E2A3E072B - house
7E2A3E072B - House

web-application obfuscation appsec business-risk

pregunta Dave 24.05.2016 - 01:35

fuente

2 respuestas

2

No puedo ver ningún reclamo de seguridad de la aplicación para almacenar las entradas de los clientes. Además, el "texto cifrado" parece ser reversible (en lugar de un hash). Es una mala práctica.

respondido por el Fofz 24.05.2016 - 02:18

fuente

Lea otras preguntas en las etiquetas web-application obfuscation appsec business-risk

¿Por qué es inseguro CBC-MAC para la entrada de longitud variable? ¿Es seguro dividir la información en varios paquetes?

score 2 · Accepted Answer

La única vez que he visto algo similar a esto es en Dovecot (servidor de correo electrónico IMAP) donde, opcionalmente, puede configurarlo para registrar un hash de la contraseña intentada para propósitos de solución de problemas / depuración.

Sin embargo, incluso con Dovecot (que es una implementación que confiaría en más de lo que parece ser su ), es solo algo que habilitaría temporalmente para la solución de problemas / depuración.

La razón es que un simple hash de una contraseña es igualmente malo porque puedes realizar ataques de fuerza bruta para adivinar la contraseña.

Hay una razón por la que las personas usan mecanismos seguros como PBKDF2 para hacer hash de las contraseñas, y hacer lo que su software hace (o dejar la función Dovecot habilitada permanentemente) esencialmente elimina todo el punto de los algoritmos de hashing más fuertes como PBKDF2.

Por lo tanto, le sugiero que pida encarecidamente a los desarrolladores de su aplicación de terceros que eliminen la función de registro de contraseñas por completo o que introduzcan una opción para deshabilitarla.