¿El registrador de mi dominio está almacenando mi contraseña en texto simple? [cerrado]

Navega tus respuestas
0

Hace un año, llamé a mi registrador de dominios (sin nombre aquí, pero no es difícil de encontrar y un proveedor importante) para que cambien algunas configuraciones de DNS. Mientras estaba en el teléfono, el representante de servicio al cliente me hizo decir mi contraseña (letra por letra) para probar mi identidad. Acabo de darme cuenta: ¿mi registrador de dominios, por lo tanto, almacena mi contraseña en texto simple? Si no, ¿cómo pudo el representante de servicio al cliente saber que mi contraseña era la que dije que era?

    
pregunta michaelrbock 26.07.2013 - 22:44
fuente

2 respuestas

5

Lamentablemente, solo podemos especular. Dada la limitada información que tenemos sobre las capacidades del representante de servicio al cliente con respecto a su contraseña, existen varias posibilidades.

Dejando de lado el método de almacenamiento de datos, el representante de servicio al cliente necesitaba una de dos cosas para poder verificar su contraseña:

  1. La capacidad de realmente ver la contraseña almacenada en sus servidores.
  2. Una aplicación o formulario mediante el cual ingresarían la contraseña que proporcionó y recibirían una respuesta positiva o negativa del servidor después de realizar la comparación.

La primera opción requiere una de las siguientes, ninguna de las cuales es una buena práctica de seguridad:

  • Las contraseñas se almacenan en texto sin cifrar.
  • Las contraseñas se almacenan mediante cifrado reversible.

Con la opción # 2, usted puede realizar el uso de sal y el hashing de las contraseñas, mientras que aún le permite al representante de servicio al cliente la capacidad de verificarla. Sin embargo, la opción # 2 no elimina la posibilidad de que se utilicen opciones de almacenamiento de cifrado reversible o de texto simple.

En cualquier caso, el mayor problema con todo este esquema es que, independientemente de cómo verificaron su contraseña, el representante de servicio al cliente ahora conoce su contraseña. Eso debería nunca suceder por cualquier motivo.

Solución: cambie la contraseña de su registrador de dominios por una que no usa y nunca usará en ningún otro lugar. Cambie su contraseña en cualquier otro sitio, sistema, servicio o aplicación donde haya utilizado la misma o una contraseña similar a la de su registrador de dominios. Finalmente, busque un nuevo registrador de dominios.

    
respondido por el Iszi 26.07.2013 - 23:18
fuente
6

Es bastante obvio que lo que sucedió no fue una práctica de seguridad ideal, ya que el agente con el que habló ahora sabe (si no lo hizo antes) su nombre de usuario / contraseña.

En términos de almacenamiento, sería una especulación decir que lo mantuvieron en texto claro. Esa es una posibilidad dado lo que has dicho.

Sin embargo, si le pidieran su contraseña completa, entonces podría ser que el agente la escribiera en un formulario que luego la ocultara, la comparara con la clave almacenada en el archivo y le diera una decisión correcta / incorrecta al agente. La pieza letra por letra podría ser simplemente para garantizar que no haya errores tipográficos / ortográficos en la verificación de la contraseña.

    
respondido por el Rоry McCune 26.07.2013 - 23:08
fuente

Lea otras preguntas en las etiquetas

¿Este método de hashing + salt de contraseña es la forma más segura posible? [duplicar] Diferencia entre Ejecutar y Explotar