¿Cómo sabe Netflix mi contraseña?

8

Cada vez que voy a la página principal de Netflix en Firefox, me conecto automáticamente.

Sin embargo, cuando abro la lista de contraseñas guardadas de Firefox, noto que Netflix no se encuentra entre los sitios en los que Firefox guarda contraseñas ( Options -> Security -> Saved Passwords)

¿Cómo sabe Netflix la contraseña si Firefox no la almacena y dónde se almacena?

Soñador cuervo
fuente
21
No veo qué parte de este escenario te hace pensar que conocen tu contraseña. Básicamente todo lo que has dicho es "Acabo de recibir un Chromecast". y "Firefox no ha guardado mi contraseña de Netflix". ¿Qué tienen esos dos hechos que te hacen creer que Netflix tiene tu contraseña? Supongo que este malentendido ha surgido de algo diferente a lo que has enumerado en tu pregunta actual. ¿Quizás podrías editar para explicar qué es ese "algo"?
Ajedi32
1
@ Ajedi32 Honestamente, tuve un fallo mental y asumí que debido a que estoy conectado cada vez que abro Netflix, fue firefox el que inició sesión. Olvidé por completo que las cookies eran una cosa.
Raven Dreamer
44
De hecho, el Chromecast es completamente irrelevante.
David Z
@DavidZ A menos que alguien tenga información sobre cómo usarlo a través de Firefox ... sí.
Raven Dreamer
@RavenDreamer Esa sería una pregunta diferente; tan irrelevante independientemente
OJFord

Respuestas:

31

Para responder a su primera pregunta, Netflix no conoce su contraseña .

Lo que hace Netflix y cualquier otro sitio web competente es cambiar su contraseña utilizando un esquema de hash unidireccional ( MD5 , SHA-1 , SHA-2 , etc.).

Lo que esto hace es esencialmente crear una huella digital hexadecimal única de longitud fija que identifica la cadena de texto que es su contraseña. Por ejemplo, así es como se ve my-secure-password después de ser hash usando MD5:

Hash MD5

Almacenan este hash en su base de datos interna y cada vez que inicia sesión en Netflix, la contraseña que proporciona durante el proceso de inicio de sesión se vuelve a cifrar utilizando el mismo esquema y se compara con la copia de la contraseña almacenada en su base de datos.

Si coinciden, saben que has ingresado la contraseña correcta y que tienes acceso. Si no lo hacen, no estás autenticado. Es por eso que cuando hace clic en alguna variación del enlace Olvidé mi contraseña , no le envían su contraseña anterior, sino que le piden que elija una nueva. Es porque ellos tampoco saben cuál es su contraseña.

Entonces, ¿cómo estás conectado si Firefox no almacenó la contraseña para Netflix?

La respuesta a eso son las cookies de sesión . Cuando iniciaste sesión en Netflix (quizás hace un tiempo), es posible que hayas elegido recordar tu sesión.
¿Recuérdame?

Si lo hizo, Firefox almacena un pequeño dato de información en su computadora que lo identifica de manera única cada vez que visita Netflix. Estas 'cookies', como se las llama, generalmente persisten durante un período corto de tiempo hasta que la sesión está activa y luego caducan. Sin embargo, algunos pueden durar semanas o más. Elimina esa cookie y Netflix no te recordará.

Cookies de Netflix

Con respecto a su segunda pregunta, si Firefox no 'recordaba' la contraseña, no se almacena en ningún lado. Lo que se almacena es la cookie. Firefox los almacena en su carpeta Perfiles en el archivo cookies.sqliteque es un archivo de base de datos SQLite .

Por último, si opta por iniciar sesión a través de su cuenta de Facebook, no necesitaría una contraseña, por lo que Firefox no almacenaría una.

iniciar sesión con Facebook

Sin embargo, aún se crearía una cookie para identificar su sesión.

Vinayak
fuente
23
MD5 es unidireccional porque es una función hash. Decir que no es así implicaría que de alguna manera podría obtener los datos originales de un hash MD5 a través de un proceso criptográfico. No puedes Las herramientas que menciona pueden 'revertir' el hash solo porque han invertido una gran cantidad de energía de la computadora para forzar todo tipo de combinaciones de contraseña para llegar a la cadena de contraseña original. Esto no significa que MD5 sea reversible. El hash es diferente del cifrado, donde puede descifrar los datos si tiene la clave. También con hashing, no importa cuánto tiempo la entrada, la salida siempre es de longitud fija.
Vinayak
16
@Derek 朕 會 功夫 MD5 está criptográficamente "roto", pero se trata de colisiones , no de imágenes previas (que son importantes para las contraseñas). MD5 también es malo para las contraseñas, pero esto se debe a que es rápido , por lo que puede aplicar fuerza bruta a muchas contraseñas en poco tiempo (y esto es lo mismo para más funciones hash de última generación como SHA-2 y SHA -3). Ver crypto.stackexchange.com/a/28/58 .
Paŭlo Ebermann
99
Tengo que votar a favor solo por el ejemplo MD5, por muy bueno que sea el resto de la respuesta. Esto no es algo que quieras leer en 2014 (pronto será 2015). Nunca fue una buena idea usar MD5 sin procesar (incluso con sal) para almacenar contraseñas, y la mayoría de las personas se dieron cuenta de eso en el transcurso de los últimos 10 años. -1
Thomas
8
@Thomas Lamento que te sientas así, pero mi respuesta nunca fue una guía para elegir el mejor esquema de hashing. SuperUser no es StackOverflow y nos guste o no, MD5 sigue siendo una función hash criptográfica, así que no veo qué hay de malo en explicar qué es un hash con el ejemplo de MD5.
Vinayak
77
@kasperd "Y de hecho, hasta el día de hoy, el uso de una sola invocación de MD5 con sal es seguro para aquellos usuarios que usan buenas contraseñas". No. Por favor, no difunda información errónea. Una sola invocación de MD5 es completamente inadecuada.
Ayrx
10

Netflix, como la mayoría de los otros sitios web, no se preocupa por su contraseña durante la navegación normal. En cambio, cuando inicia sesión, Netflix hace que el navegador almacene una 'cookie' con el ID de sesión de inicio de sesión. El navegador lo devuelve cada vez que solicita una nueva página. (Del mismo modo, el almacenamiento de contraseña en Firefox no se usa durante la navegación normal, sino solo para completar automáticamente el campo de contraseña en las páginas de inicio de sesión).

Las cookies de sesión generalmente se generan aleatoriamente y no tienen ninguna relación con su nombre de usuario o contraseña, solo Netflix puede vincularlo a su cuenta.

Para verlos, haga clic con el botón derecho en la página, seleccione "Ver información de la página" y en "Seguridad" haga clic en "Ver cookies".

usuario1686
fuente
5

No hay nada malo con Netflix. Al igual que casi todos los sitios web en los que puede iniciar sesión, almacena una cookie en su PC que, entre otras cosas, almacena datos cifrados que representan su contraseña.

¿No has visto el mismo comportamiento en Google, Facebook, Yahoo, Windows Live y en cualquier cuenta que se te ocurra?

Algunos servicios web pueden usar cookies que son válidas solo por un corto período de tiempo o solo en la sesión actual (por ejemplo, Yahoo y Facebook a menos que seleccione una opción Recordarme en esta computadora ). Pero aparentemente Netflix usa cookies que son válidas por un período de tiempo más largo que lo mantiene conectado a menos que elimine el historial de su navegador, especialmente las cookies.

Ahora, puede estar preguntando cuál es el uso del almacén de contraseñas en el navegador. Eso es muy simple Si cierra sesión en Netflix (o cualquier otra cosa), la cookie se elimina. Si desea volver a iniciar sesión, deberá ingresar el nombre de usuario y la contraseña de la cuenta. Si ha guardado su contraseña en el navegador, completará automáticamente ese campo cuando escriba el nombre de usuario.

Cornelio
fuente
10
Aclaración: las cookies no contienen ningún dato que represente contraseñas. Por el contrario, contienen datos aleatorios que identifican una sesión asociada con su cuenta. Las sesiones se almacenan en el servidor.
ntoskrnl
0

¿Revisaste tus cookies? Su contraseña, o una copia encriptada de su contraseña, podría estar allí.

hymie
fuente
55
Ese sería un diseño terriblemente inseguro. La práctica común es usar una cookie de sesión que no esté relacionada con la contraseña de ninguna manera.
kasperd
Realmente no importa exactamente específicamente lo que encuentra allí. Debería revisar sus galletas.
hymie