Contraseña en claro

Iniciado por huerto123, 12 Noviembre 2016, 16:19 PM

0 Miembros y 1 Visitante están viendo este tema.

huerto123

Hola
Si una web le dices que no recuerdas tu contraseña y el sistema es capaz de mandarte un correo con la misma es que tiene la contraseña en claro en la BdD?

Me ha pasdao con una pagina importante y me ha chocado. NOrmalmente se guarda el hash y no debería poder enviarse la misma en claro no al no poderse recuperar desde el hash. no?

engel lex

#1
te sorprenderías cuantas webs no guardan hash... cuando una web se ponga "la contraseña no puede contener los siguientes simbolos.... no puede ser más de x (siendo x realmente grande, algo como 100) caracteres..." es casi seguro que no están usando hash, ya que no te preocupas por un hackeo si lo primero que haces con los inputs es tirarle hash...

agregando a esto...
https://haveibeenpwned.com/PwnedWebsites

sitios que guardaban contraseña en texto plano y fueron hackeados ( me mantendré solo sobre los 100k afectados

Citar000webhost - 13 million customer records
126 -  6.4 million subscribers
Adobe - (no estaba hasheada, estaba cifrada y partieron la ecriptación) - 153 million Adobe accounts
Brazzers -  790k accounts
ClixSense - 2.4 million subscriber
Duowan.com -  2.6M accounts
Fling - more than 40 million
Foxy Bingo - 242k
i-Dressup -  5.5 million accounts
Lookbook - 1.1 million users
Mate1.com  - 27 million subscribers
Neopets - almost 27 million unique email addresses
NetEase - hundreds of millions of subscribers.
Rambler - almost 100M accounts
Sony - tens of thousands of accounts across multiple systems being exposed
Taobao - 21 million subscribers
VK - 100 million accounts
Yahoo(yahoo voices) - half a million users
YouPorn - 1.3M users

y aquí no incluyo a los que tenian hashes débiles y sin sal (md5 y sha1)
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

huerto123

Gracias, pero cuando introduczco la contraseña el sistema me puede decir que no use una determinada contraseña y luego cifrarla no?

Adobe y Yahoo tienen lc ontraseña en claro o mal cifrada?

Que sistema recomiendas para cifrar? Joomla y la mayoria de sitios usan Md5 y no sabia que era vulnerable fácilmente.

engel lex

CitarJoomla y la mayoria de sitios usan Md5

actualmente no... actualmente usan blowfish o sistemas pesados acompañados de salt...

CitarAdobe y Yahoo tienen lc ontraseña en claro o mal cifrada?

ya me imagino que hasheada XD (adobe la tenía cifradas con sistemas debiles)

CitarQue sistema recomiendas para cifrar?

el predeterminado de php es super pesado y la gente le tiene idea

http://php.net/manual/es/function.password-hash.php
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.