Seguridad de elegir contraseñas únicas para los usuarios [duplicar]

Question

Seguridad de elegir contraseñas únicas para los usuarios [duplicar]

#1 de Anders (3 votos)
#2 de Jmons (0 votos)

0

Estoy aprendiendo más sobre la seguridad en el diseño web para poder construir sitios más robustos. Como veo, la seguridad de las contraseñas es una de las principales preocupaciones, si una base de datos es hackeada, es probable que las contraseñas estén en la lista de los atacantes. Entiendo que no debe almacenar contraseñas de 'texto simple' y en su lugar hash / salt; almacenando eso en su lugar. Pero, en un sitio en el que he estado trabajando, tenemos contraseñas de "solo sitio", es decir, las contraseñas son generadas automáticamente por el sitio web para el acceso del sitio del usuario. Estos son para el administrador y el acceso al curso del sitio y consisten en el nombre del sitio web seguido de numerosos caracteres aleatorios. Por lo tanto, las contraseñas, incluso si se accedió en formato de texto simple, no serían de ninguna utilidad, ya que las contraseñas son exclusivas de ese sitio únicamente. Como entiendo normalmente, los piratas informáticos están buscando contraseñas "comunes", que se pueden usar para acceder a otros sitios.

Este sistema fue implementado por un programador experimentado. Pero me pregunto si el consenso general es que el uso de este método de contraseñas únicas del sitio es una opción mucho más segura y, en ese caso, ¿por qué la mayoría de los sitios solicitan las contraseñas establecidas por el usuario en primer lugar? ¿Cuáles son más vulnerables (aunque quizás sean más fáciles de recordar)?

web-application passwords password-management authentication

pregunta Robert Sheppard 14.07.2016 - 13:23

fuente

2 respuestas

Lea otras preguntas en las etiquetas web-application passwords password-management authentication

Solicitudes de contraseña de Gmail persistentes aleatorias de Google Privacidad del empleado al usar el iPhone de la empresa en su propio Wi-Fi

score 3 · Answer 1

Obligar al usuario a elegir una contraseña que generó es una forma eficaz de evitar que se vuelva a usar la contraseña. Eso significa tanto (a) que sus contraseñas no serán utilizables en otro sitio si un atacante las roba, y (b) que las cuentas de sus usuarios no serán violadas incluso si estuvieran en LinkedIn, MySpace, Sony y Ashley Madison. / p>

Por otro lado, los despertará mucho más difícil de recordar. Por lo tanto, es más probable que los usuarios los escriban en un post junto a la pantalla o en un correo electrónico enviado a ellos mismos, lo que no es una práctica muy segura. También es más probable que se molesten con usted y no utilicen su sitio. Si intenta contrarrestar esto generando contraseñas con menos entropía, puede terminar haciendo que los usuarios que prefieren usar un administrador de contraseñas para generar contraseñas largas y únicas sean sustancialmente menos seguros.

Finalmente, a la pregunta de si realmente hay alguna necesidad de cifrar las contraseñas: Sí, deberías hacerlo. Si su base de datos tiene filtraciones (SQLi, copia de seguridad perdida, etc.) no desea que el atacante tenga todas las contraseñas y pueda iniciar sesión como administrador.

Para obtener información sobre cómo cifrar de forma segura las contraseñas, consulte esta pregunta .

score 0 · Answer 2

Tener una contraseña única por sitio no se trata de las personas que apuntan a ese sitio individual, sino del problema de "contaminación cruzada" de otros sitios. Las personas son conocidas por usar la misma contraseña en varios sistemas.

Está bien documentado que los ataques se producen al configurar un sitio web de intereses similares para su objetivo (por ejemplo, un Foro de fans de World of Warcraft). Los usuarios se registran allí por algún motivo (para comentar) y utilizan su dirección de correo electrónico y contraseña. Desafortunadamente, más comúnmente que no, [cita requerida] los usuarios usan su misma contraseña.

Si el sitio no es legítimo, o si era legítimo y fue pirateado, pero las contraseñas que la gente estaba usando estaban mal almacenadas (como en el hack de Amazon), o se capturan antes de que se las borre y verifique cuando un usuario inicia sesión , el atacante ahora tiene una dirección de correo electrónico y una contraseña.

En estas situaciones, el atacante no está apuntando a un individuo, sino a cualquiera que cae víctima. Por lo tanto, un sistema que obligue a que sus usuarios más privilegiados (los administradores de sistemas) deben tener las contraseñas podría ser una buena cosa.

Sin embargo, existen alternativas posibles: la autenticación de múltiples factores (como FIDO), o hacer que sus usuarios usen un sistema como LastPass que rastreará los sitios que tienen contraseñas comunes para usted.