Este sitio va a exponer tus contraseñas filtradas en texto plano al menos que...

Iniciado por wolfbcn, 13 Abril 2018, 01:44 AM

0 Miembros y 1 Visitante están viendo este tema.

wolfbcn

Si alguna vez tu email se ha visto comprometido en una de tantas brechas de datos de los últimos años, esto es simplemente más evidencia de lo importante que es cambiar tus contraseñas cuando eso pasa. Muchas de esas filtraciones se encuentran en bases de datos que se han hecho públicas y al alcance de cualquier tercero con malas intenciones.

Justo eso ha hecho un nuevo sitio que funciona básicamente como un clon malicioso de Have I been pwned?, la conocida herramienta que te deja comprobar si tu email ha sido hackeado. La diferencia es que este te muestra tu email junto a la contraseña en texto plano y amenaza con filtrarla a menos que le pagues en bitcoin un otras criptomonedas.

LEER MAS: https://www.genbeta.com/seguridad/este-sitio-va-a-exponer-tus-contrasenas-filtradas-en-texto-plano-al-menos-que-les-pagues-en-bitcoin
La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.

Serapis

Esto sucede, simplemente porque los sistemas (el 99%, o más) están mal diseñados.

Un site, no debe guardar (JAMÁS) contraseñas, entre otras cosas, porque no las necesita, solo debe guardar la 'prueba de la contraseña', esto es, el HASH de la contraseña. Así aunque alguien encuentre un hash, no es suficiente para acceder al site, necesita además, como mínimo una contraseña que cuadre en ese hash, así sea una resultado de una colisión. Por tanto, obtener tal hash, no soluciona prácticamente nada, todavía habría que nadar en el laberinto de posibilidades para encontrar una colisión. Lo que en la práctica, podría (en muchas ocasiones, aunque difícil de saber) dar tiempo a que el site, se enterara de haber sido hackeado y avisar a los usuarios... dando así tiempo (muchísimo más tiempo, comparado a obtener contraseñas en texto plano), a cambiarlas sin más problemas...

...y para ser más seguro, el site debiera guardar, no un hash, si no dos, procedentes de hashear la misma contraseña pero con dos algoritmos distintos, así la colisión conduce prácticamente a la nulidad (la posibilidad real es el producto de todas als posibilidades de cada método, esto, si son de la misma longitud, la posibilidad de colisión es la raíz cuadrada de uno solo de los algoritmos). Esto prácticamente aseguraría, que aunque alguien si hiciera con el hash (que guarde el site) de tu contraseña, no le bastaría con encontrar una colisión, pués fallaría igualando el hash para el otro algoritmo... lo que supone elevar el tiempo de búsqueda de la clave, esto, es...en la práctica, supondría usar fuerza bruta, exactamente igual que si no se dispusiese de dicho Hash...