¿Por qué los grandes sitios web -todavía- almacenan contraseñas de texto sin cifrado?

No lo sé. Pero aquí hay una suposición: el sitio web no tiene nada valioso que proteger. La única razón por la que tiene cuentas de usuario es para que puedan permitir que las personas inicien sesión y publiquen comentarios: si no hubiera un proceso de inicio de sesión, las personas podrían (y lo hicieron) escribir comentarios para publicar anuncios en miles de páginas web a la vez, o las páginas serían abrumado por guerras de fuego entre personas anónimas y no bannables. Entonces, alguien decidió que la seguridad débil era lo suficientemente buena y que era más fácil escribir PHP / SQL para hacer una coincidencia simple que administrar hashes.

Por supuesto, si las personas usan la misma contraseña en todas partes, la contraseña en sí misma se vuelve valiosa. Incluso con un esquema de hashing fuerte (SHA1, por ejemplo), si los piratas informáticos se apoderan de toda la base de datos, un ataque de diccionario puede descifrar las contraseñas comunes. La última vez que miré, la lista de contraseñas de Adobe no se había descifrado realmente, pero debido a que los hashes no tenían sal, había una correspondencia 1: 1 entre las contraseñas y los hashes y el “recordatorio de contraseña” de algunos usuarios era la contraseña en sí, o tan buena como. Eso permitió que los investigadores de seguridad dedujeran las 100 contraseñas más comunes. Todo lo cual es una buena razón para no usar la misma contraseña en diferentes sitios web, o al menos no compartirla con su correo electrónico, redes sociales o cualquier cosa que realmente le interese.

Personalmente, creo que otros datos son tan sensibles como las contraseñas, si no más, y también deberían encriptarse. Eso hace que sea difícil de usar, y probablemente lento, y no es 100% hermético, ya que claramente tiene que ser descifrado para usarse realmente, cuando el perfil de alguien se muestra o edita, por ejemplo. Pero todavía vale la pena hacerlo. Ashley Madison tenía claros los nombres reales, las direcciones, los números de teléfono, la dirección del empleador y las preferencias sexuales de las personas. ¿A quién le importan algunas contraseñas desechables?

Related Content

¿Cómo asegura la verificación en dos pasos las cuentas en línea?

¿Por qué las empresas privadas, especialmente las firmas de abogados, dudan en invertir en seguridad cibernética y prevención de pérdida de datos?

¿Cuál es el método seguro para el sitio web de aprendizaje electrónico, HTTPS o SSL?

Cómo garantizar una seguridad cibernética completa

¿Hay algún requisito para el software antivirus si tengo Windows Defender en mi computadora?

Trabajar en cualquier organización o proyecto lo suficientemente grande es como unirse a un equipo de remeros olímpicos que habían estado remando en el mismo barco sin parar durante los últimos diez años.

Saltas y comienzas a remar con todas tus fuerzas junto con tus otros, igualmente fantásticos, miembros del equipo. Remas y remas y remas. Los miembros de su equipo van y vienen, pero todos se centran en remar un poco. Te enfocas en mantener tu técnica de remo. Mide tus golpes y tu ritmo de respiración perfectamente. El timonel dirige el bote entre olas con la máxima precisión.

Entonces, un día, el bote presenta una fuga porque nadie pensó en revisar la parte inferior del bote para detectar fugas.

Cuando un sistema complejo funciona bien y lo ha estado haciendo durante un tiempo, es fácil asumir que todo está bien debajo del capó e ir a hacer otras cosas, aparentemente más importantes.

En última instancia, los sitios web almacenan las contraseñas en texto claro por la misma razón por la que la mayoría de nosotros no enviamos nuestros autos a reparar hasta que algo falla en el bloque del motor; porque siempre hay algo más que debes hacer en este momento y desarmar algo que ha estado funcionando bien simplemente nunca se te pasó por la cabeza.

También es la razón por la cual los sistemas de transferencia de datos de la mayoría de los bancos e instituciones gubernamentales se ejecutan con archivos de texto de ancho fijo, el pináculo de la tecnología de los años setenta.

Gregory Delrue

En la mayoría de los casos, solo hay prioridades más altas.

Los desarrolladores generalmente se ven obligados a hacer algo “suficientemente bueno” y lo más rápido posible. En muchos casos, saben que no serán recompensados ​​por hacer cosas que están más allá de lo que se les pidió que hagan, pero se les impondrán plazos. Las revisiones de seguridad / privacidad independientes a menudo se omiten o se tratan como solo una línea de pedido para marcar antes del lanzamiento.

¿Cuál es la pérdida real para la empresa si se roban los datos del usuario?

Si alguna vez se produce una violación y se pierden los datos del usuario, a menudo hay poco o ningún efecto en las ganancias reales, la empresa no es multada ni procesada penalmente por negligencia y la mayoría de los usuarios se sienten un poco molestos y olvidan después de un corto período de tiempo. Un poco de relaciones públicas sobre los “piratas informáticos” y el nuevo “compromiso de la compañía con una mayor seguridad” generalmente solucionan cualquier preocupación persistente.

Andrew Daviel

Debido a que esos sitios web aún no se hacen responsables del daño que les hace a sus usuarios su mala seguridad.

Las contraseñas nunca deben almacenarse, ni siquiera encriptarse.

Solo se deben almacenar sus hashes, creados por una función de hash de contraseña, con sal.

De esa manera, incluso si hay una violación, será imposible para los atacantes descubrir las contraseñas reales.

Gregory Delrue

Cualquier sitio que almacene una contraseña de texto sin cifrar, o la contraseña misma en forma cifrada, es culpable de malversación de seguridad, probablemente bajo la dirección de algún “experto” de “usabilidad”.

Lo único seguro es almacenar un hash de la contraseña utilizando algo diseñado para tal fin, como PBKDF2. Al perder u olvidar una contraseña, ofrezca sugerencias o restablezca el enlace a través de un canal alternativo verificado.

En la forma más simple, están en texto claro porque están dirigidos por idiotas.

Andrew Daviel

Lamentablemente, la respuesta es muy simple: porque siempre habrá personas así en este mundo.

David Brower

More Interesting

¿Necesita EE. UU. Un Gran Cortafuegos para proteger a las empresas de Internet de las redes sociales de EE. UU. De ser pirateadas e influenciadas por gobiernos extranjeros?

¿Cómo se puede detectar lo que afecta el comportamiento de un programa inofensivo y convertirlo en un arma?

Cómo limpiar un virus de tu teléfono

¿Qué antivirus es el mejor para Windows 10 y cuyo precio es el más bajo?

¿Hay alguna manera de hacer que un archivo no se pueda copiar sin autodestruirse o protegerse con contraseña?

¿Por qué las fuerzas del Eje no atacaron Gibraltar?

¿Por qué es necesario reiniciar la PC después de eliminar posibles amenazas y posibles virus?

¿Cuáles son algunas buenas conferencias de seguridad móvil?

¿Cuáles son los pasos esenciales para fortalecer una computadora Ubuntu (seguridad)?

¿Qué es una buena herramienta para medir la contraseña?

¿Puede una memoria USB infectada con virus dañar mi televisor LCD?

¿Es la computación en la nube más segura que los sistemas de servidor cliente tradicionales para la pequeña y mediana empresa?

¿Es Bit Defender Ransomware lo suficientemente bueno como para proteger una computadora contra posibles ataques de ransomware?

¿Ciberataque a Rusia durante su fiesta nacional? ¿Lo que realmente sucedió?

Cómo eliminar el malware / adware 'Express Find' de mi computadora