¿Por qué un sitio web que restablece su contraseña a una de su elección se considera un infractor de texto sin formato?

Navega tus respuestas
44

¿Qué tiene de malo generar una contraseña para ti sin almacenarla?

¿Por qué está MasterCard en la lista de delincuentes de texto sin formato ?

    
pregunta Ulkoma 17.03.2016 - 13:26
fuente

4 respuestas

18

Puede haber 50 tonos de área gris con respecto a cuán malo es la violación. Aquí hay una orden sugerida que comienza con la peor ofensa:

  1. El usuario crea su propia contraseña. El usuario olvida la contraseña y el sistema les envía por correo electrónico la contraseña que crearon originalmente. Este es el abuelo de los delincuentes de texto simple porque es vulnerable a una multitud de ataques. Vectores de ataque disponibles : correo electrónico interceptado sobre la marcha, acceso a la cuenta de correo electrónico en el futuro, volcado de base de datos con contraseñas almacenadas en texto sin formato o cifrado reversible. Además, una vez que se conoce la contraseña, es posible que el usuario la haya utilizado o una contraseña similar en otros sitios, lo que podría provocar un posible ataque de las cuentas de los usuarios en otro lugar.
  2. El usuario crea su propia contraseña, el sistema le envía inmediatamente una copia de su contraseña (para sus registros). Vectores de ataque disponibles : correo electrónico interceptado sobre la marcha, acceso a la cuenta de correo electrónico en el futuro, posible volcado de base de datos (en este caso, no sabemos si el sistema almacena la contraseña de forma reversible, podrían ser hash después de enviar el correo electrónico). Contraseña compartida en otro lugar.
  3. El usuario crea su propia contraseña. El usuario olvida la contraseña y el sistema regenera una nueva contraseña aleatoria y envía la nueva por correo electrónico al usuario. Vectores de ataque disponibles : correo electrónico interceptado sobre la marcha, acceso a la cuenta de correo electrónico en el futuro. Nota: el sistema puede recomendar que el usuario cambie su contraseña, pero el usuario no puede hacerlo.
  4. El usuario crea su propia contraseña. El usuario olvida la contraseña y el sistema regenera una nueva contraseña temporal y envía la nueva por correo electrónico al usuario. Vectores de ataque disponibles : correo electrónico interceptado sobre la marcha, acceso a la cuenta de correo electrónico en el futuro, si el usuario aún no ha iniciado sesión para cambiar su contraseña. Nota: las contraseñas típicamente temporales no caducan hasta después del primer inicio de sesión.
  5. El usuario crea su propia contraseña. El usuario olvida la contraseña y el sistema envía por correo electrónico un enlace para restablecer la contraseña al usuario. Vectores de ataque disponibles : correo electrónico interceptado sobre la marcha, acceso a la cuenta de correo electrónico en el futuro, si el usuario aún no ha iniciado sesión para cambiar su contraseña. Nota: esto es básicamente lo mismo que la contraseña temporal.
  6. El usuario crea su propia contraseña. El usuario olvida la contraseña y el sistema envía por correo electrónico un enlace de restablecimiento de contraseña al usuario que caduca después de un cierto tiempo. Vectores de ataque disponibles : correo electrónico interceptado sobre la marcha, acceso a la cuenta de correo electrónico durante el período de reinicio si el usuario aún no ha iniciado sesión para cambiar su contraseña.

Notas :

  • La lista anterior se basa en lo que usted como usuario puede observar. Detrás de escena, esperamos que todos, excepto el # 1, tengan contraseñas de hash de forma segura en caso de que la base de datos esté alguna vez comprometida, pero obviamente no puede saberlo con seguridad.
  • La caducidad de una contraseña temporal o un enlace de restablecimiento es útil para el escenario en el que el usuario solicita el restablecimiento, y luego se retira y no regresa por mucho tiempo, o nunca.
  • Debe haber una línea grande dibujada entre # 2 y # 3. Las 2 primeras opciones se consideran malas , y esos son los tipos de delincuentes de los que los delincuentes de texto simple intentan protegerte. El # 3 es dudoso, pero si el sitio no almacena ninguna información personal, probablemente no sea un gran problema. Si un banco hace el # 3 (y parece que MC está usando esta opción), entonces personalmente lo declararía como debería-arreglarse lo antes posible , simplemente porque si el usuario no cambia su contraseña, y alguien compromete su cuenta de correo electrónico en el futuro, sus finanzas personales podrían estar en riesgo. Idealmente, para todos los sitios nuevos y actualizaciones, # 6 debería ser el camino a seguir.

Nota final: si un atacante tiene acceso abierto a su cuenta de correo electrónico, puede argumentar que incluso # 6 no lo protege a usted, ya que el atacante podría restablecer su contraseña en un sitio bancario, recibir el enlace de restablecimiento y cambiar. Su contraseña, luego inicie sesión en el sitio. Esto es absolutamente cierto. Sin embargo, la próxima vez que intente iniciar sesión en el sitio no podrá hacerlo y, con suerte, llegará a la conclusión de que algo no está bien, lo que provocará otro cambio de contraseña y posiblemente un cambio de contraseña en su cuenta de correo electrónico. . Algunos sitios incluso le dirán la última vez que cambió su contraseña para ayudarlo a llegar a esa conclusión por su cuenta.

    
respondido por el TTT 17.03.2016 - 21:11
fuente
52

Debido a que la mayoría de los usuarios no cambian su contraseña después de dicho restablecimiento e instruyen sin pensar a su navegador para que guarde la nueva contraseña y / o el sitio no obliga a los usuarios a cambiarla después de su primer inicio de sesión.

Por lo tanto, efectivamente envían la nueva contraseña en texto sin formato, por lo que son delincuentes.

Una mejor forma puede ser un Token de una sola vez para restablecer la contraseña, preferiblemente enviado por correo postal. o SMS.

    
respondido por el Tobi Nary 17.03.2016 - 13:38
fuente
33

El correo electrónico (SMTP / POP3 / IMAP) es un texto simple, por lo que es posible que un tercero pueda interceptar la contraseña en la red o en el almacenamiento.

    
respondido por el wireghoul 17.03.2016 - 13:45
fuente
19

La descripción en la sección Acerca de de su página me da la impresión de que la definición de delincuente de texto simple depende únicamente del almacenamiento de datos:

  

Un sitio web que almacena una contraseña en texto sin formato significa que su contraseña es   Allí, esperando que alguien venga y lo tome. Ni siquiera importa   si has creado la contraseña más segura posible Simplemente está allí.

     

Si se trata de alguien pirateando sus servidores, usando un simple defecto   en su sitio o incluso robando sus copias de seguridad, más del 30% de los sitios almacenan   contraseñas de texto sin formato.

     

Estamos cansados de que los sitios web abusen de nuestra confianza y almacenen nuestras contraseñas en   texto simple , exponiéndonos al peligro. Aquí ponemos sitios web que creemos   estar practicando esto para avergonzarte.

(énfasis mío)

Al leer esto, suena como si una nueva contraseña generada te fuera enviada por correo electrónico no necesariamente convertiría a la compañía en un delincuente de texto sin formato según su definición. Eso es asumiendo que todavía ALMACENAN la contraseña grabada (y esperamos que sea salada).

Sin embargo, diría que enviar un correo electrónico a un usuario con su contraseña no es ideal, por las razones expuestas por SmokeDispenser y wireghoul.

    
respondido por el Fluffy 17.03.2016 - 14:11
fuente

Lea otras preguntas en las etiquetas

¿Qué impide a los propietarios de tiendas web hacer un mal uso de los datos de las tarjetas de crédito? ¿Es una mala idea omitir el muro de inicio de sesión para una dirección IP específica?