Servicios de recorte de Ebay: ¿se almacenan las contraseñas en texto sin formato?

7

Para los no iniciados, los servicios de recortes de eBay son organizaciones de terceros que las personas pueden usar para ofertar en una subasta de eBay en el último segundo, obviamente esto requiere que el usuario proporcione los detalles de su cuenta de eBay para que el servicio pueda iniciar sesión en su cuenta para hacer la oferta.

Mi pregunta es, ¿las contraseñas de estos servicios se almacenarán en texto sin formato? Después de todo, una contraseña con hash almacenada en los servidores del francotirador no sería muy útil para iniciar sesión en la cuenta de eBay de un usuario, ¿verdad? Si no, ¿cómo estos servicios almacenarían las credenciales de eBay de los usuarios de forma segura?

    
pregunta yogalD 07.08.2016 - 10:52
fuente

2 respuestas

3
  

las contraseñas de estos servicios se almacenarán en texto simple

Ya que necesitan su contraseña de texto simple para iniciar sesión en ebay, tendrían que almacenarla como texto simple o encriptado de manera reversible (es decir, sin hash). En este último caso, debe haber alguna forma de descifrar la contraseña, es decir, una clave legible o una biblioteca que realice el descifrado (y que pueda interactuar con algún almacenamiento seguro basado en hardware).

Si bien los detalles exactos son específicos para cada servicio, puede resumir que si el servicio es hackeado, su contraseña probablemente quedará expuesta, ya sea directamente porque se almacenó en texto sin formato o indirectamente porque se descifró.     

respondido por el Steffen Ullrich 07.08.2016 - 11:10
fuente
9

Realmente no podemos decirle cómo servicios específicos implementan esta funcionalidad.

Pero podemos decirle lo que es posible:

  1. Ellos almacenan las credenciales. Esto no puede suceder en forma de hash, ya que se requiere la contraseña de texto simple. A lo sumo, se almacena en forma cifrada, lo que significa que todas las contraseñas se filtrarán si un atacante obtiene acceso a la clave. Si tiene que ingresar su contraseña de eBay al registrarse con el servicio, puede asumir que este caso se aplica. Recomiendo encarecidamente que no exponga su contraseña a terceros servicios.
  2. Utilizan la API de ebay [*]. Utiliza tokens para autenticar a un usuario, por lo que el usuario no ingresa su contraseña en cualquier sitio de terceros, pero en su lugar, esos sitios obtienen un token de acceso.

[*] Esto es especulación. Teóricamente, debería ser posible implementar la funcionalidad de francotirador a través de esta API (proporciona funcionalidad de ofertas y autenticación), pero no intenté implementarla en la práctica.

    
respondido por el tim 07.08.2016 - 11:17
fuente

Lea otras preguntas en las etiquetas