tag:blogger.com,1999:blog-5399811056563385935.post3163792781418937332..comments2023-09-21T14:48:16.670+02:00Comments on Security By Default: Passwordfail.com (El muro de la vergüenza de la gestión de contraseñas)Yago Jesushttp://www.blogger.com/profile/16830228750771246202noreply@blogger.comBlogger9125tag:blogger.com,1999:blog-5399811056563385935.post-21622426920780411232011-04-05T00:25:59.149+02:002011-04-05T00:25:59.149+02:00Desde mi ignorancia me surge una duda. Si la base ...Desde mi ignorancia me surge una duda. Si la base de datos es comprometida y se obtiene toda la información que en ella aparece, la única razón para tener la contraseñas en un hash sería que no pudieran acceder de nuevo con cualquier usuario. Pero si ya tienen todos los datos, ¿de qué me sirve eso?Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-80676630006788704112010-07-12T19:41:52.079+02:002010-07-12T19:41:52.079+02:00Hace unos 5 años el Banco Cetelem tenia un foro pa...Hace unos 5 años el Banco Cetelem tenia un foro para sus clientes, pues este tambien guardaba las claves en texto plano y eso que es un banco ...Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-41091971487325829512010-07-09T14:21:29.498+02:002010-07-09T14:21:29.498+02:00¿Soy el único al que se le viene a la mente el cas...¿Soy el único al que se le viene a la mente el caso de rockyou.com?<br /><br />http://reusablesec.blogspot.com/2009/12/rockyou-hacked-32-million-yes-thats.html<br />http://reusablesec.blogspot.com/2009/12/rockyou-32-million-password-list-top.html<br />http://reusablesec.blogspot.com/2010/01/more-analysis-of-rockyou-password-list.html<br /><br />http://www.imperva.com/docs/WP_Consumer_Password_Worst_Practices.pdf<br /><br />La verdad es que fue un fallo muy grave...Alejandro Nolla (@z0mbiehunt3r)https://www.blogger.com/profile/05973834553762060290noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-89629595574678062682010-07-09T12:58:39.238+02:002010-07-09T12:58:39.238+02:00@Anónimo Muy sencillo. Muchísima gente usa la mism...@Anónimo Muy sencillo. Muchísima gente usa la misma contraseña para todos los servicios, incluidas las direcciones de correo electrónico. <br /><br />Si han robado la base de datos en claro ten por seguro que tendrán acceso a una gran cantidad de correos electrónicos con información personal, y desde ahí, a muchos otros servicios que lleven la misma contraseña.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-34191404120992623662010-07-09T10:45:52.142+02:002010-07-09T10:45:52.142+02:00Parece que mucha gente solo aprende cuando les dan...Parece que mucha gente solo aprende cuando les dan un escarmiento en su seguridad. Que mal, que mal.Alex Millàhttps://www.blogger.com/profile/10491400771156357866noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-28185041321611811532010-07-09T10:31:15.831+02:002010-07-09T10:31:15.831+02:00No dice que Pixmania almacene las contraseñas en t...No dice que Pixmania almacene las contraseñas en texto plano, sino que simplemente las envía al correo en el momento del registro. Claramente no es una buena práctica, pero no especifica cómo las almacena.<br />La otra categoría, marcada con una X, contiene las webs que permiten recuperar la contraseña y la envían en texto plano, lo que significa que las almacenan de forma reversible.<br /><br />Parece mentira que todavía haya casos de estos. Con lo fácil que es hacer md5(sal + pass + pimienta);Álvarohttp://java-spain.comnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-10484731756242721772010-07-09T10:22:26.095+02:002010-07-09T10:22:26.095+02:00Desde mi ignorancia me surge una duda. Si la base ...Desde mi ignorancia me surge una duda. Si la base de datos es comprometida y se obtiene toda la información que en ella aparece, la única razón para tener la contraseñas en un hash sería que no pudieran acceder de nuevo con cualquier usuario. Pero si ya tienen todos los datos, ¿de qué me sirve eso?Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-82333265309299309032010-07-09T10:15:09.681+02:002010-07-09T10:15:09.681+02:00Pues si es curioso que aun existan muchos sitios a...Pues si es curioso que aun existan muchos sitios así y es una muy buena recomendación la del hash pero también habria que comentar que un simple MD5 no es suficiente a no ser que las claves utilizadas tengan bastantes caracteres (más de 10) ya que seria posible obtener las claves por fuerza bruta y/o con un diccionario.<br /><br />También pienso que seria interesante no solo guardar el hash de la clave sino también el teléfono y la dirección de email ya que pueden ser utilizados para enviar spam o realizar algun tipo de engaño del tipo "Perdone pero hemos cambiado la seguridad de la pagina, entre aqui y cambie su clave..." Hay gente que pica.fossiehttps://www.blogger.com/profile/04459507874163936269noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-16488280798001946462010-07-09T09:28:38.369+02:002010-07-09T09:28:38.369+02:00¡Joder con Pixmania! Seguro que la mitad de los le...¡Joder con Pixmania! Seguro que la mitad de los lectores tenemos cuenta allí con nuestras passwords felizmente en plano. Al menos es una password de perfil bajo, pero no deja de ser un servicio lamentable. ¿Un email al administrador servirá de algo?Adriánhttps://www.blogger.com/profile/05930185256221295755noreply@blogger.com