Hay un sitio web que mi empresa utiliza para los datos personales proporcionados por un tercero. En la página de creación de contraseña, es posible crear una contraseña de 30 caracteres, pero al intentar iniciar sesión con esta contraseña se genera un error de contraseña no válida. Es posible usar contraseñas más cortas.
¿Debería preocuparme mi empresa? ¿Es esto indicativo de fallas más profundas en su seguridad?
Obviamente, quienquiera que haya construido esto no fue muy bueno en lo que estaba haciendo y / o no prestó mucha atención a los detalles. Cuando se trabaja con cosas de seguridad críticas como la autenticación, eso no es bueno.
Piénselo así: si descubrió que su electricista accidentalmente instaló los enchufes de salida al revés, eso en sí mismo no es el fin del mundo. Pero, ¿no te preocuparía un poco que haya estropeado algo más crítico y que tu casa se incendie?
También, límites cortos para la longitud de la contraseña puede ser un indicador de un sistema legasy sin hashing o mal. Peor aún, como se destaca en jrtapsell , el hecho de que la contraseña se acepte cuando se establece, pero no en el inicio de sesión, podría ser una muestra que se trunca cuando se inserta en la base de datos y, por lo tanto, se almacena en texto sin formato.
Entonces, si bien esto no es una prueba de nada, aún debe activar las alarmas.
No creo que sea posible sacar conclusiones sobre todo el sistema a partir de este error. Creo que este es un problema que puede resolverse y debería resolverse.
Puede ser conveniente hacer una investigación sobre la seguridad, pero creo que no se pueden sacar buenas conclusiones solo con esta información.
Lea otras preguntas en las etiquetas passwords