¿Es una práctica común registrar contraseñas rechazadas?

Navega tus respuestas
55

Si bien la selección de contraseñas únicas para cada propósito es una gran idea, en la práctica esto rara vez sucede. Por lo tanto, muchos seleccionan contraseñas de un grupo personal de contraseñas que son fáciles de recordar. Cuando se autentica en sistemas que se usan con poca frecuencia, es muy probable que se intenten secuencialmente varias contraseñas de dicho grupo. Alternativamente, las contraseñas fallidas están muy cerca de la contraseña real en caso de un error tipográfico.

Dado que casi nadie describe la política de contraseñas vigente, incluida la forma en que se manejan las contraseñas rechazadas, ¿debería uno comenzar a suponer que se recopilan en una base de datos que se vende al mejor postor?

¿Existe una guía de implementación? ¿Qué sucede normalmente con una contraseña de candidato cuando se rechaza esta opción? ¿Se están registrando, descartando de inmediato o dejándolos para que se queden con ellos hasta que se recolecte la basura? ¿Los procedimientos de manejo de contraseñas fallidos son parte de cualquier control auditado? Parece que hay muchos requisitos de implementación y recomendaciones con respecto a cómo se deben manejar las contraseñas válidas, pero vagas con respecto a los valores de contraseña rechazados.

EDIT

Intentaré enumerar aquí las diversas implementaciones que registran las credenciales de seguridad de inicio de sesión fallidas para tener una idea de lo extendido que está este procedimiento:

Sistemas de gestión de contenido:

Joomla a través de Registro de error de inicio de sesión

  

Este pequeño complemento recopila los registros de cada intento fallido de inicio de sesión del administrador de su sitio Joomla y envía un correo electrónico sobre cada uno de ellos al superadministrador del sitio con el nombre de usuario, la contraseña, la dirección IP y el error.

KPlaylist v1.3 y v1.4 - un sistema PHP gratuito que hace que tu colección de música esté disponible vía Internet.

  

está registrando los nombres de usuario y las contraseñas de los intentos de inicio de sesión fallidos en el registro de errores de apache

Drupal 5.x antes de la versión 5.19 y Drupal 6.x antes de la versión 6.13 .

  

Cuando un usuario anónimo no puede iniciar sesión debido a un error al escribir su nombre de usuario o contraseña, y la página en la que se encuentra contiene una tabla clasificable, el nombre de usuario y la contraseña (incorrectos) se incluyen en los enlaces de la tabla. Si el usuario visita estos enlaces, la contraseña puede filtrarse a sitios externos a través de la referencia HTTP.

Software independiente

Servidor de informes incluido con Symantec Client Security 3.1 y SAV CE 10.1

  

La contraseña de administrador para Symantec Reporting Server podría revelarse después de un intento fallido de inicio de sesión.

Linux:

OpenSSH a través de auth-passwd.c ; usando PAM mediante la sobrecarga de la función pam_sm_authenticate

EDIT # 2

Parece que hay un consenso, y el registro de las contraseñas o PINS fallidos se considera un riesgo de seguridad grave / importante, sin embargo, por lo que sé, las siguientes normas no proporcionan ninguna guía, procedimiento auditado o controles que aborden específicamente esto riesgo:

  • PCI-DSS : procedimientos de contraseñas que se describen en 8.4. y 8.5. (Las contraseñas fallidas están protegidas solo durante la transmisión; después de la validación no se consideran contraseñas, por lo tanto, no se requiere que estén protegidas)

  • FIPS140-2 : autenticación tratada en 4.3 (ciclo de vida de los datos de autenticación fallidos solo parcialmente abordados)

pregunta Drew Lex 05.07.2012 - 00:59
fuente

5 respuestas

61

El registro del valor de un intento de contraseña fallido (texto claro u otro) parece un anti-patrón de seguridad. Nunca he visto una aplicación web que haga esto, y tampoco conozco ningún servicio del sistema predeterminado como SSH. Como lo señala @tylerl a continuación, la mayoría de los sistemas simplemente registran metainformación sobre un intento de acceso (por ejemplo, nombre de usuario, hora, quizás dirección IP, etc.).

Por qué esto debería ser un antipatrón de seguridad

De repente, puedo pensar en tres razones por las que registrar el valor de un intento fallido de contraseña es una mala idea:

1. Tipografías de usuario

Es extremadamente común que las personas escriban mal una contraseña por uno o dos caracteres. Examinar un archivo de registro de intentos fallidos haría que muchos de estos sean fáciles de entender, especialmente si pudiera contrastar una secuencia de intentos fallidos con una autenticación exitosa.

2. Adivina y verifica

Muchas personas tienen dos o tres contraseñas que recorren para todo. En consecuencia, cuando olvidan la contraseña que usaron en un sitio determinado, simplemente los repasan todos hasta encontrar una coincidencia. Esto haría trivial hackear sus cuentas en otros sitios.

3. Log Bloat

El almacenamiento de contraseñas fallidas no tiene un propósito útil para la gran mayoría de los servicios de autenticación en producción en la actualidad. Si bien puede haber algunos casos de borde, para la mayoría de las personas, almacenar estos datos simplemente está desperdiciando espacio en el disco.

Sobre legislación / normas relevantes

No conozco ningún estándar (PCI, HIPAA, etc.) que aborde específicamente los procedimientos para almacenar intentos fallidos de inicio de sesión, pero creo que a los hechos anteriores se les puede dar un buen argumento legal sobre por qué los mismos estándares que La aplicación al almacenamiento de contraseñas en general también debería aplicarse a los intentos de contraseña fallida. En otras palabras, podría presentar un argumento legal de que una contraseña fallida sigue siendo categóricamente una contraseña y, como tal, está sujeta a los mismos estándares.

Si bien ciertamente no soy abogado, no querría que un juez tuviera que decidir si fui negligente o en violación de los estándares de la industria porque las contraseñas fallidas se almacenaron en texto claro y los consumidores sufrieron las consecuencias. No creo que eso termine con una decisión favorable.

Estoy de acuerdo con el OP en que podría ser útil para los diferentes organismos de estándares abordar este problema específicamente (si es que aún no lo han hecho). Para ese fin, mi sugerencia sería crear un estándar de cumplimiento de no almacenar el valor de los intentos fallidos de contraseña en absoluto.

    
respondido por el Mark 05.07.2012 - 02:19
fuente
14

No hay ningún propósito legítimo para registrar contraseñas de texto simple para ninguna aplicación; especialmente para un inicio de sesión incorrecto. Se puede registrar por casualidad. He visto casualmente auth.log para otros propósitos, y he visto a un usuario escribir accidentalmente su contraseña en el campo de inicio de sesión (y registro los campos de inicio de sesión para ver qué cuentas se intentan registrar) en): sin embargo, notifiqué al usuario y cambiaron su contraseña.

En la otra cara, como usuario, la suposición conservadora es decir que cada aplicación aleatoria que usa registra cada contraseña de intentos incorrectos. Esta es la razón por la que es una mala idea tener una pequeña (tres) de contraseñas aleatorias que recorres, en lugar de una contraseña única para cada sitio administrada en una lista de contraseñas encriptadas (posiblemente utilizando una herramienta como keepass).

En esta nota, businessinsider.com ha acusado a Mark Zuckerberg (fundador de facebook) de usar registros de combinaciones de inicio de sesión / contraseña (incluso de entradas incorrectas) de thefacebook.com (una versión anterior de facebook) para piratear el correo electrónico Relatos de los periodistas de Harvard Crimson que lo estaban investigando. Del correo diario: :

  

Sin embargo, después de que surgieran otras reclamaciones, Zuckerberg aparentemente se mostró ansioso de que el periódico publicara una historia sobre él después de todo.

     

Business Insider afirmó que luego le contó a un amigo cómo había pirateado las cuentas del personal de Crimson.

     

Supuestamente le dijo al amigo que usó TheFacebook.com para buscar miembros que dijeran que eran personal de Crimson.

     

Luego, supuestamente examinó un informe de inicios de sesión fallidos para ver si alguno de los miembros de Crimson había ingresado alguna vez una contraseña incorrecta en TheFacebook.com.

También es algo relevante xkcd (imagina que las cuentas malvadas también registraron intentos de contraseña para aumentar su tasa de éxito).

    
respondido por el dr jimbob 05.07.2012 - 07:03
fuente
6

Algunas de las respuestas anteriores son excelentes, por lo que esta es solo una perspectiva rápida y simplificada de las políticas del gobierno de EE. UU. sobre la administración de sistemas informáticos que procesan información clasificada.

(1) Todo el sistema informático debe estar protegido con el estándar más alto requerido por cualquier información en esa máquina. Esto incluye los registros almacenados en la máquina o fuera de ella.

Por ejemplo, si intencionalmente o accidentalmente puso datos "secretos" en una computadora, CADA parte de esa computadora ahora debe estar protegida como información "secreta". Este es el caso incluso si tenía una computadora no clasificada (como en casa, por ejemplo) que recibió un correo electrónico con información clasificada. Toda la computadora, y todo en ella ahora se clasifica como "secreto".

(2) Las contraseñas de esa máquina también se clasifican en el nivel más alto de protección requerido por los datos en esa máquina.

Por ejemplo, si tiene datos "secretos" en esa máquina, dondequiera que almacene la contraseña, también requiere el mismo nivel de protección.

Según se aplique a su pregunta, independientemente del estándar que esté aplicando, como PCI-DSS, NISPOM, etc., no puede tener contraseñas en texto sin cifrar en los registros si el requisito es que estén protegidas (como el hash y salados).

En resumen, si cualquier esquema regulatorio se aplica a su sistema informático en cuestión, y esa regulación dice que no puede tener contraseñas de texto sin cifrar, entonces no puede tener contraseñas de texto sin cifrar en sus registros. .

    
respondido por el OnTheShelf 10.07.2012 - 21:17
fuente
5

No es infrecuente registrar el hecho de que un intento de autenticación ha fallado y para qué usuario fue. Esto puede resultar muy útil en la resolución de problemas forenses. Es extremadamente infrecuente e irresponsable desde una perspectiva de seguridad registrar la contraseña que fue rechazada. Esta información no tiene ningún propósito útil y puede ser utilizada en su contra.

EDIT
Es de esperar que pueda esperar que una empresa con buena reputación y bien organizada no esté vendiendo la información de su contraseña, ya que esto sería realmente malo para ellos si se descubriera. Pero en aras de su propia seguridad, siempre debe estar preparado para que la información que proporcione se utilice contra usted porque siempre es una posibilidad. Esto se duplica para cualquier organización cuya reputación no pueda establecer de manera confiable.

    
respondido por el tylerl 05.07.2012 - 05:22
fuente
2

No. Es común que los usuarios tengan un conjunto de contraseñas, y que las recorran para tratar de averiguar cuál está en uso para un sitio determinado. El registro solo significa que cuando usted se ve comprometido, sus alternativas se agregan al grupo de personas que lo golpean.

    
respondido por el John Haugeland 06.07.2012 - 02:38
fuente

Lea otras preguntas en las etiquetas

¿Por qué los navegadores aplican la política de seguridad del mismo origen en los iframes? ¿Por qué los navegadores tienen como valor predeterminado http: y no https: para las URL escritas? [duplicar]