¿Cómo le importa a Google los "espacios" en las contraseñas específicas de la aplicación?

Navega tus respuestas
11

Recientemente he configurado la "verificación en dos pasos" para mi cuenta de Google.

Una de las características es la capacidad de crear "contraseñas específicas de la aplicación "para dispositivos que no admiten el proceso de 2 pasos. (Aplicaciones en teléfonos inteligentes como Android, BlackBerry o iPhone, clientes de correo como Microsoft Outlook, clientes de chat como Google Talk o AIM)

Cuandocreaunadeestascontraseñas,Googleledicequelos"espacios" no importan.

¿Esto significa que ...

  • las contraseñas se envían en texto sin formato y, por lo tanto, pueden eliminar los espacios en el otro extremo (sé que los clientes de correo pueden hacer esto, pero los productos de Google como Gmail y Calendar o ActiveSync)
  • los métodos de hash que usan eliminan los espacios (pero no podrían controlar cómo el hash de productos de terceros)
  • almacenan dos hashes de las contraseñas en su extremo, uno con espacios & el otro sin (si este es el caso, no tendrían que almacenar más de dos, uno para cada combinación posible de 3 lugares donde puede haber un espacio)
pregunta Corey 17.01.2012 - 16:01
fuente

2 respuestas

9
  • Las contraseñas se envían en texto sin formato, es por eso que usa SSL para configurar una conexión segura para que nadie pueda detectar su comunicación. Sugiera que enviaría una contraseña con hash, aún así podría simplemente rastrear el hash y falsificar una solicitud, ya que el servidor estaría esperando un hash en lugar de la contraseña. (que es básicamente una cadena de nuevo)
  • El almacenamiento de hashes se realiza principalmente para asegurarse de que la base de datos está hackeados / investigados no pueden ver su contraseña e intentar reutilizarlos en otras cuentas / servicios.
  • Es posible eliminar los espacios antes de hash la contraseña. Como usted mismo dice, mantener un hash de contraseña para cada posibilidad donde podría estar un espacio en blanco, almacenaría múltiples hashes. O la contraseña siempre se construye de cuatro grupos de cuatro letras. Entonces sería fácil eliminar primero todos los espacios y luego dividirlos nuevamente en 4 grupos de 4 letras.
respondido por el Lucas Kauffman 17.01.2012 - 16:12
fuente
4

Lo más probable es que la respuesta sea:

Las contraseñas se envían al servidor de Google, a través de un canal cifrado con SSL. Por lo tanto, el servidor de Google ve la contraseña que el cliente ha proporcionado. El servidor de Google elimina cualquier espacio antes de escribir la contraseña. Por lo tanto, puede pensar que la contraseña no tiene espacios (los espacios se agregan solo para la visualización). O bien, puede pensar que la contraseña tiene espacios, pero el proceso de hashing ignora los espacios. De cualquier manera, es equivalente al final.

Los hashes de terceros son irrelevantes. El hashing lo realizan los servidores de Google, por lo que todo lo que importa es cómo Google utiliza la contraseña.

    
respondido por el D.W. 30.08.2012 - 07:24
fuente

Lea otras preguntas en las etiquetas

¿Herramienta para la criptografía de clave pública donde contraseña es la clave privada? Si acepto un certificado para usar el Wi-Fi de mi empresa, ¿soy vulnerable a los ataques MITM?