Si un "¿olvidó su contraseña?" la página envía por correo electrónico su contraseña anterior, ¿es una prueba definitiva de que la han almacenado en texto sin formato?

8

Cuando un sitio envía por correo electrónico su contraseña anterior, en lugar de requerir que la restablezca en el sitio, me pregunto qué implica eso sobre sus medidas de seguridad.

¿Significa esto que almacenan la contraseña en texto plano para su propia conveniencia o podrían seguir usando el cifrado en la contraseña?

security passwords encryption S. Michaels
fuente
En relación con esta cuestión - superuser.com/questions/46810/...
ChrisF
3
El cifrado es un proceso bidireccional en el que de alguna manera puede descifrar la información dada la clave correcta. Las contraseñas deberían usar normalmente el hash, que en teoría es una codificación unidireccional donde la contraseña da como resultado un valor de hash específico, que es difícil o imposible de revertir. Cuando inicie sesión, su contraseña ingresada se codifica de la misma manera y se compara con el valor codificado almacenado y le permite ingresar si coinciden. En la práctica, a veces se puede revertir el proceso a través de diversos procesos de fuerza bruta como el uso de tablas de arco iris ...
Oskar Duveborn
2
Si lo tenían o no lo tenían encriptado, ¡lo enviaron en un correo electrónico de texto del plan! Ese sitio web no es serio ni tiene información sobre seguridad de ninguna manera. Esperemos que no les haya dado una contraseña que use en ningún otro lugar. ¿Derecha?
DanO
Abandoné un sitio porque insistieron en enviarme un correo electrónico con mi nombre de usuario y contraseña una vez al mes, ya sea que lo solicitara o no. Les envié un correo electrónico varias veces para decirles que esto no era una buena práctica, luego me di por vencido.
TRiG

Respuestas:

25

Es posible que estén usando el cifrado cuando la contraseña se almacena en la base de datos, pero no deberían almacenarla en un formato recuperable, cifrado o de otro modo.

Deberían tomar un hash unidireccional de la contraseña (más una sal ). Esto significa que pueden verificar que la contraseña que ingrese ahora coincida con la que proporcionó anteriormente, pero ellos (o algún cracker con acceso a su base de datos) no pueden descubrir cuál es. Cifrar la contraseña significa que un cracker tendría que encontrar la base de datos y la clave de cifrado, pero como la clave debe estar en el servidor que sirve al sitio web, esto es casi inconcebible.

Entonces, si pueden enviarle su contraseña, esto significa que no están siguiendo las mejores prácticas de seguridad conocidas.

Una mala práctica como esta es una buena razón para usar una contraseña diferente para cada sitio web en el que se registre .

Dave Webb
fuente
99
Por cierto, ¡gracias por llamarlos crackers en lugar de hackers !
NVRAM
Por otro lado, los bancos principales consideran que los hashes bidireccionales son lo suficientemente seguros como para almacenar información de tarjetas de crédito.
runako
1
@runako: ¿Qué es un hash bidireccional? Una función hash generalmente produce un valor de cierto tamaño, lo que significa que el original no se puede encontrar nuevamente a menos que el original no sea mayor que el valor hash.
David Thornley
1
Lo siento, publicamos mal. Eso debería haber sido "función bidireccional".
runako
19

Incluso si está cifrado y es seguro, ese correo electrónico no fue de ninguna manera seguro.

Una cosa que sabe es que, mediante el uso del correo electrónico , su contraseña ahora se almacena casi
seguramente en texto sin formato en muchas otras ubicaciones :

  • En su servidor de correo
  • En el servidor de su proveedor de correo electrónico
  • En el navegador de su computadora o en los directorios de almacenamiento de correo electrónico
  • En el disco duro / registros de cualquier persona que podría haber estado "escuchando" en el camino
  • ... y posiblemente en cualquier salto de Internet entre usted y ese sitio.
Robert Cartaino
fuente
1

Como dijo Dave, podrían y con suerte están usando encriptación, pero he visto sitios que almacenan contraseñas en texto plano. También podrían generar una nueva contraseña temporal cuando presionas el botón Olvidé mi contraseña, que debes cambiar la primera vez que inicias sesión con ella. La conclusión es que no sabe cómo almacenan su contraseña y, a menos que el sitio esté alojado por la misma compañía de la que obtiene soporte, y solo tienen unas pocas personas, es poco probable que pueda preguntarle a alguien que saber cómo se almacena, e incluso si lo supieran, es poco probable que se lo cuenten.

Beaner
fuente
0

La respuesta es NO, esto no es una prueba de nada.

En cualquier caso, no tiene forma de saber cómo se almacenan las contraseñas internamente. Lo más probable es que estén usando una base de datos como mysql, y puede ser que no estén encriptados dentro de la base de datos. Sin embargo, aún es posible que estén almacenando conscientemente toda la base de datos en algunos medios cifrados como TrueCrypt . Todo lo que puede hacer es esperar que hayan tomado suficientes medidas para proteger su privacidad.

harrymc
fuente
66
Es una prueba de que no se almacenan cifrados con un hash unidireccional y, por lo tanto, se puede recuperar la contraseña de texto sin formato.
NVRAM
1
Recuperado no es lo mismo que texto sin formato. Recuperado también puede significar descifrado. Texto sin formato significa almacenado como texto simple que se puede mostrar sin mucho esfuerzo.
harrymc
1
Si se puede descifrar, entonces no es seguro. Tome el control de la casilla de autenticación y tendrá las claves para descifrar las contraseñas de todos.
Jeremy L
1
Sí, toma el control del servidor del sitio y puedes registrar las contraseñas incluso antes de que sean unidireccionales. Vamos chicos, están siendo tontos.
harrymc