Sólo texto | Texto con Imágenes

Test Foro de elhacker.net SMF 2.1

Seguridad Informática => Seguridad => Mensaje iniciado por: huerto123 en 12 Noviembre 2016, 16:19 PM

Título: Contraseña en claro
Publicado por: huerto123 en 12 Noviembre 2016, 16:19 PM
Hola
Si una web le dices que no recuerdas tu contraseña y el sistema es capaz de mandarte un correo con la misma es que tiene la contraseña en claro en la BdD?

Me ha pasdao con una pagina importante y me ha chocado. NOrmalmente se guarda el hash y no debería poder enviarse la misma en claro no al no poderse recuperar desde el hash. no?
Título: Re: Contraseña en claro
Publicado por: engel lex en 12 Noviembre 2016, 16:24 PM
te sorprenderías cuantas webs no guardan hash... cuando una web se ponga "la contraseña no puede contener los siguientes simbolos.... no puede ser más de x (siendo x realmente grande, algo como 100) caracteres..." es casi seguro que no están usando hash, ya que no te preocupas por un hackeo si lo primero que haces con los inputs es tirarle hash...

agregando a esto...
https://haveibeenpwned.com/PwnedWebsites (https://haveibeenpwned.com/PwnedWebsites)

sitios que guardaban contraseña en texto plano y fueron hackeados ( me mantendré solo sobre los 100k afectados

Citar000webhost - 13 million customer records
126 -  6.4 million subscribers
Adobe - (no estaba hasheada, estaba cifrada y partieron la ecriptación) - 153 million Adobe accounts
Brazzers -  790k accounts
ClixSense - 2.4 million subscriber
Duowan.com -  2.6M accounts
Fling - more than 40 million
Foxy Bingo - 242k
i-Dressup -  5.5 million accounts
Lookbook - 1.1 million users
Mate1.com  - 27 million subscribers
Neopets - almost 27 million unique email addresses
NetEase - hundreds of millions of subscribers.
Rambler - almost 100M accounts
Sony - tens of thousands of accounts across multiple systems being exposed
Taobao - 21 million subscribers
VK - 100 million accounts
Yahoo(yahoo voices) - half a million users
YouPorn - 1.3M users

y aquí no incluyo a los que tenian hashes débiles y sin sal (md5 y sha1)
Título: Re: Contraseña en claro
Publicado por: huerto123 en 13 Noviembre 2016, 13:13 PM
Gracias, pero cuando introduczco la contraseña el sistema me puede decir que no use una determinada contraseña y luego cifrarla no?

Adobe y Yahoo tienen lc ontraseña en claro o mal cifrada?

Que sistema recomiendas para cifrar? Joomla y la mayoria de sitios usan Md5 y no sabia que era vulnerable fácilmente.
Título: Re: Contraseña en claro
Publicado por: engel lex en 13 Noviembre 2016, 17:04 PM
CitarJoomla y la mayoria de sitios usan Md5

actualmente no... actualmente usan blowfish o sistemas pesados acompañados de salt...

CitarAdobe y Yahoo tienen lc ontraseña en claro o mal cifrada?

ya me imagino que hasheada XD (adobe la tenía cifradas con sistemas debiles)

CitarQue sistema recomiendas para cifrar?

el predeterminado de php es super pesado y la gente le tiene idea

http://php.net/manual/es/function.password-hash.php
Sólo texto | Texto con Imágenes