Historias
Slashboxes
Comentarios
 
Búsqueda
Este hilo ha sido archivado. No pueden publicarse nuevos comentarios.
¿Guarda 'el diario' sus contraseñas en 'claro'? | Log in/Crear cuenta | Top | 35 comentarios | Buscar hilo
Mostrar opciones Umbral:
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.

  • yo las guardo en claro y me evito muchos problemas

    (Puntos:3, Informativo)
    por fabiang (14956) el Jueves, 19 Septiembre de 2013, 22:27h (#1347146)
    ( http://www.fabiangonzalez.cl/ )
    Después de lidiar con usuarios que perdían su contraseña, que no eran capaces de seguir los pasos para hacer una nueva... etc... opté por:
    • 1) El usuario es el numero de DNI
    • 2) La clave la crea el sistema (letras y numeros, mayusculas y minusculas al azar, unos 15 caracteres)
    • 3) La clave guarda en claro en la base de datos
    • 4) La clave se envie en claro por email
    Solución magnífica: el link de perdí la clave solicita el dni y en la página siguiente se informa al usuario: su clave se ha enviado al correo pepe@loquesea.com Santo remedio, la tasa de solicitudes de soporte ha caido estrepitosamente.
    --
    while(1==1){ printf("\t firma infinita \n"); }
    Puntos de inicio:    1  punto
    Moderación   +1  
    Modificador extra 'Informativo'   0  
    Modificador por Bonus-Karma   +1  
    Total marcador:   3  

  • Re:yo las guardo en claro y me evito muchos proble

    (Puntos:3, Inspirado)
    por Grohl (16098) el Viernes, 20 Septiembre de 2013, 07:45h (#1347156)
    ( http://barrapunto.com/~Grohl/bitacora | Última bitácora: Lunes, 09 Marzo de 2015, 09:07h )

    Ya, pero si el hilo no debate si funciona o no funciona, sino si es seguro o no es seguro.

    En tu caso funciona pero no es seguro (doblemente inseguro).
    --
    "En teoría no hay diferencia entre teoría y práctica. En la práctica, sí la hay."
    [ Padre ]

  • Re:yo las guardo en claro y me evito muchos proble

    (Puntos:3, Informativo)
    por Molleradura (19661) el Viernes, 20 Septiembre de 2013, 11:57h (#1347172)
    ( http://barrapunto.com/ | Última bitácora: Martes, 27 Enero de 2009, 22:47h )
    Hola, tu sistema es inseguro e ilegal.

    - Guardar en claro una contraseña es ilegal. La LOPD indica que las contraseñas se almacenarán de forma ininteligible (es decir, un hash).

    - Los motivos son que tu no deberías conocer las contraseñas de los clientes (al menos no deberías tener una lista de ellas). Por ejemplo, un empleado o un proveedor podría en un momento dado acceder a la lista. También es un riesgo que alguien las vea por un leve fallo de seguridad (bien por acceso de lectura al servidor donde está la bbdd, o bien acceso a una copia de seguridad, o bien por medio de inyección sql).

    Te aconsejo que cambies lo antes posible a guardar hash de las contaseñas (mínimo sha1, y si quieres ir por lo seguro, SHA-512 con salt).
    [ Padre ]