09 julio 2010

En pleno 2010 y con tanto avanzado en concienciación en materia de seguridad, cuesta mucho creer que todavía existan sitios que no conocen el significado de la palabra 'Hash' y que tampoco entiendan como emplear el concepto para defender la seguridad de sus usuarios.

PasswordFail.com es una iniciativa implementada en modo 'muro de la vergüenza' donde usuarios voluntarios reportan sitios web donde hay constancia de que se almacenan las contraseñas sin ningún tipo de cifrado.

Por si alguno aun no entiende lo que significa el problema, imaginemos que un sitio por azares del destino es comprometido y la base de datos de usuarios sustraída. En ese punto tan crítico ¿que es lo que queda? ¿cual es la última linea de defensa? Que al menos se hayan tomado la molestia de almacenar las contraseñas de una forma no reversible. Algo tan básico como emplear un hash que al menos ponga las cosas difíciles a quien tenga acceso a la base de datos. Este concepto tan obvio y evidente parece que no lo es tanto para muchos sitios web

En la lista de websites que almacenan la contraseña 'tal cual' sorprende mucho que, por ejemplo, esté pixmania.com sitio al que -iluso de mi- le otorgaba cierta seriedad.

Si conoces algún site donde al recurrir al típico 'recuperar contraseña' la respuesta es un amable correo con la contraseña tal cual la pusiste cuando creaste el perfil, bien harías en reportar el sitio en PasswordFail.com

9 comments :

Adrián dijo...

¡Joder con Pixmania! Seguro que la mitad de los lectores tenemos cuenta allí con nuestras passwords felizmente en plano. Al menos es una password de perfil bajo, pero no deja de ser un servicio lamentable. ¿Un email al administrador servirá de algo?

fossie dijo...

Pues si es curioso que aun existan muchos sitios así y es una muy buena recomendación la del hash pero también habria que comentar que un simple MD5 no es suficiente a no ser que las claves utilizadas tengan bastantes caracteres (más de 10) ya que seria posible obtener las claves por fuerza bruta y/o con un diccionario.

También pienso que seria interesante no solo guardar el hash de la clave sino también el teléfono y la dirección de email ya que pueden ser utilizados para enviar spam o realizar algun tipo de engaño del tipo "Perdone pero hemos cambiado la seguridad de la pagina, entre aqui y cambie su clave..." Hay gente que pica.

Anónimo dijo...

Desde mi ignorancia me surge una duda. Si la base de datos es comprometida y se obtiene toda la información que en ella aparece, la única razón para tener la contraseñas en un hash sería que no pudieran acceder de nuevo con cualquier usuario. Pero si ya tienen todos los datos, ¿de qué me sirve eso?

Álvaro dijo...

No dice que Pixmania almacene las contraseñas en texto plano, sino que simplemente las envía al correo en el momento del registro. Claramente no es una buena práctica, pero no especifica cómo las almacena.
La otra categoría, marcada con una X, contiene las webs que permiten recuperar la contraseña y la envían en texto plano, lo que significa que las almacenan de forma reversible.

Parece mentira que todavía haya casos de estos. Con lo fácil que es hacer md5(sal + pass + pimienta);

Alex Millà dijo...

Parece que mucha gente solo aprende cuando les dan un escarmiento en su seguridad. Que mal, que mal.

Anónimo dijo...

@Anónimo Muy sencillo. Muchísima gente usa la misma contraseña para todos los servicios, incluidas las direcciones de correo electrónico.

Si han robado la base de datos en claro ten por seguro que tendrán acceso a una gran cantidad de correos electrónicos con información personal, y desde ahí, a muchos otros servicios que lleven la misma contraseña.

Alejandro Nolla dijo...

¿Soy el único al que se le viene a la mente el caso de rockyou.com?

http://reusablesec.blogspot.com/2009/12/rockyou-hacked-32-million-yes-thats.html
http://reusablesec.blogspot.com/2009/12/rockyou-32-million-password-list-top.html
http://reusablesec.blogspot.com/2010/01/more-analysis-of-rockyou-password-list.html

http://www.imperva.com/docs/WP_Consumer_Password_Worst_Practices.pdf

La verdad es que fue un fallo muy grave...

Anónimo dijo...

Hace unos 5 años el Banco Cetelem tenia un foro para sus clientes, pues este tambien guardaba las claves en texto plano y eso que es un banco ...

Anonymous dijo...

Desde mi ignorancia me surge una duda. Si la base de datos es comprometida y se obtiene toda la información que en ella aparece, la única razón para tener la contraseñas en un hash sería que no pudieran acceder de nuevo con cualquier usuario. Pero si ya tienen todos los datos, ¿de qué me sirve eso?