22 agosto 2012

De contraseñas demasiado complejas

Es famosa la web PlainTextOffenders.com donde se publican capturas y evidencias de sitios webs que mandan la contraseña de alta del registro o del resultado de un proceso de "recuperación de contraseña", al correo electrónico en texto claro y mostrando la misma que se usó inicialmente. 

Esto demuestra que la web tiene acceso de alguna manera a la contraseña, ya sea por que la almacenan en texto claro o con un cifrado simétrico y por lo tanto reversible. En definitiva, que no se han leído la guía de OWASP y su Cheat Sheet sobre el almacenamiento de contraseñas.

Hay otros sitios (¡¡a patadas!!) que tampoco te dejan meter una contraseña libremente y te limitan el número de caracteres o te eliminan la posibilidad de meter caracteres especiales, como por ejemplo una coma o una admiración.

Tampoco hablo de limites de 16 caracteres, como el de Outlook.com -y que me parece aceptable-, pero de ahí, a que tenga que tener una longitud entre 6 y 8 o que no deje usar un guión... ¡va un mundo!

Creo que debemos inaugurar una nueva sección de contraseñas e ir metiendo capturas. Seguro que poco a poco y después de ser inmensamente pesados, algunos de ellos quitarán estas limitaciones y se buscarán otra manera mejor de hacer las cosas.



10 comments :

SLaYeR dijo...

En la web de la DGT, si consultas tus puntos sin certificado digital, tienes que registrarte con tu DNI y la fecha de expedición de tu permiso de conducir, pero la contraseña se limita a 6 dígitos, ni uno más, ni uno menos, 6 dígitos obligatorios... con crunch y un buen equipo puedes generar el diccionario necesario para romper esto en pocos minutos.

Siento no adjuntar captura, pero es que tampoco te da información (como en tu captura) sobre la longitud de la contraseña. De hecho, me pase un buen rato sorprendido de que no me dejara cambiar la contraseña, y el error mostrado, "Debe rellenar todos los campos", no se correspondía con lo que estaba pasando (longitud incorrecta).


Saludos!

Madrikeka dijo...

jop! yo no puedo hacer pantallazo, pero blizzard para sus juegos (WoW, diablo III) y sus cuentas battle.net no diferencia entre mayúsculas y minúsculas! y eso que en sus recomendaciones indica que alternes entre mayúsculas y minúsculas!!


Lo mejor de todo....con el que lo hablo por privado me dice...nooo...será normal, siempre ha sido así.. y yo WTF??? lleva toda la vida así, parece ser que unos 4 años!
y sigue diciéndome...con lo liados que están con MoP (la siguiente exp. que sale el mes que viene) no creo que le den prioridad a eso, postéalo en el foro!
http://eu.battle.net/wow/es/forum/topic/5167887282 (posteado....desde el día 19, no me han contestado).
y yo pensando...pero seréis cazurros!! si hace menos de 1 mes os entraron hasta la cocina...y esto que es una cosa super tonta....no la habéis modificado en 4 años??!! normal que os hayan entrado!!
Así que sí...es super gracioso currarte una password con sus mayúsculas y minúsculas.....para que luego de igual!!

Security By Default dijo...

Pues una foto con el móvil !!!

El 22/08/2012, a las 13:40, Disqus escribió:
[image: DISQUS]

NOTE: This comment is waiting for your approval. It is not yet published on your site.
======

Madrikeka dijo...

Como hago la foto!! os enseño la luz marcada en mi teclado de que están las máyus activas??!!

Estoy super mosqueada con la respuesta de blizzard!! que no, que no diferencia y que es lo normal por que tienen otros métodos para la fuerza bruta......claroooo....os roban mogollón de cuentas al día y os cuesta mucho poner otra "pequeña" barrera de seguridad....

que tíos! y yo pagando para estas respuestas.

Yoya dijo...

Qué curioso, lo del Corte Inglés también me llamó la atención a mi hace ya un tiempo: http://twitpic.com/3amzii
No conocía plaintextoffenders pero ahora mismo me pongo a mandar quejas, menudo descubrimiento:)

pakkers dijo...

Movistar es igual ... entre 6 y 8 caracteres ... es absurdo ...

Mauricio dijo...

En varias instituciones en Uruguay pasa lo mismo... incluso algunas financieras.... tristísimo...

JohnK dijo...

va a resultar que lan manager no estaba tan mal.

alguien deberia comprometer este tipo de páginas, a base palos también se aprende

MRC dijo...

La contraseña para darse de alta en el juego 'League of Legend', creo que es complicado que tenga más requisitos ... Entiendo que por seguridad tenga que tener un mínimo de caracteres (que aun así considero que es elección del consumidor) pero de ahí, a que pida que tenga entre 6 y 16, sin barras o espacios y al menos con un número y una letra ...


Un saludo, buen post ! :)

klondike dijo...

Pues como Whatsapp los lleve a juicio me da que van a perder porque en europa la ingeniería inversa con fines de intercompatibilidad (con la red de whatsapp en este caso) no sólo es legal sino que intentar restringirla te puede hacer caer un paquete de competencia.