|
|
|
Secciones
Este hilo ha sido archivado.
No pueden publicarse nuevos comentarios.
¿Guarda 'el diario' sus contraseñas en 'claro'?
|
Log in/Crear cuenta
| Top
| 35 comentarios
| Buscar hilo
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.
Obrar mucho, y hablar poco; que lo demás es de loco.
Barrapunto © 1999-2007. Contenido disponible bajo licencia Creative Commons Reconocimiento 2.5
Aviso legal
Barrapunto © 1999-2007. Contenido disponible bajo licencia Creative Commons Reconocimiento 2.5
Aviso legal
Claves en claro en correos
(Puntos:3, Interesante)( http://barrapunto.com/~Grohl/bitacora | Última bitácora: Lunes, 09 Marzo de 2015, 09:07h )
Sin ser experto en seguridad , el proceso es seguro porque introducir la contraseña usa conexión https y certificado válido.
Ademas las claves se almacenan con 'salt' lo que hace que nadie con acceso a la base de datos conoza las password de usuario
Pero
¿ qué es eso de mandarla en claro en un correo ?
Eso es inseguro y no hace falta ser experto / y malo ) para rastrear tráfico SMTP
Ademas el usuario para acceder es la direccion de correo, así que tiene de golpe usuario/password
Espero al menos que en el correo no indique que pertenece a 'eldiario'
"En teoría no hay diferencia entre teoría y práctica. En la práctica, sí la hay."
Y que mas da?
(Puntos:-1)Ademas si almacenasen en MD5 tampoco seria dificil de sacarlas.
Sí ya se almacena mas información confidencial, pues si pudiera tener relevancia.
¿En qué quedamos?
(Puntos:-1, Provocacion)El administrador de las máquinas se ofende y dice que cuando el usuario cambia su contraseña se le envía un mail de confirmación 1 vez con su nueva contraseña.
Manzanas traigo: son dos asuntos distintos.
A quien le interese saber la exactitud de las dos cuestiones, que se registre y lo pruebe.
A mí no me importa un soberano pimiento: no voy a leer a Escolar y su "troup".
Yo entiendo que la almacenan hasheada
(Puntos:0)No es que eso sea recomendable, pero eso no significa que como dice el título de la noticia la contraseña se almacene la contraseña en claro, porque dentro del código que hashea y cambia la contraseña es evidente que se tiene acceso a dicha contraseña y por tanto puede enviarse por email.
2 cosas
(Puntos:1, Interesante)La mala práctica viene al enviar el sistema un correo reflejando la contraseña que el usuario acaba de renovar en un correo. Algo totalmente innecesario y una mala práctica en seguridad. No solo porque puede sniffarse pop3 o smtp (da igual el punto inicial o final). Además está el "shoulder surffing" o lo que es lo mismo, que un compañero de trabajo o alguien detrás tuya la vea.
Esta noticia es spam
(Puntos:1, Inspirado)Esta noticia es irrelevante, porque al final ni se almacena la contraseña en claro ni nada. Tampoco es una web relevante, se trata de un comentario en una web que tiene menos de 6000 suscriptores.
En mi opinión la noticia es un intento sibilino de spam en Barrapunto, bien para atraer lectores de Barrapunto a dicha web (sabiendo que en Barrapunto abunda la ideología afín a dicha web), bien para mejorar el posicionamiento del blog de Escolar y del diario.es
Y por si cabe alguna duda: obviamente no hay ningún sistema (que sea seguro) que permita almacenar una contraseña cifrada y obtener (facilmente) la contraseña en claro, ya que si lo hubiera sería una vulnerabilidad del sistema criptográfico. La respuesta es tan obvia y la pregunta tan absurda que me temo que esto es puro spam.
No está en claro
(Puntos:3, Informativo)( http://press.asqueados.net/ | Última bitácora: Jueves, 17 Abril de 2014, 09:50h )
Por tanto me temo que esto no es más que un bulo.
Envíos descartados por Mu [barrapunto.com]
PGP/GPG
(Puntos:1, Informativo)Sí, GPG/PGP. Tienes una clave pública que cifra en tus frontales y una clave privada que descifra en otro servidor seguro (backend).
Los frontales solo pueden guardar contraseñas o comparar hashes para autorizar; si quieres la contraseña en texto plano necesitas acceso al backend (que es el que manda los correos y procesa tareas bloqueantes etc).
Este sistema es bastante habitual y garantiza un nivel de seguridad aceptable para la mayoría de casos. No digo que sea lo que hace "el diario", pero contesto tu pregunta.
yo las guardo en claro y me evito muchos problemas
(Puntos:3, Informativo)( http://www.fabiangonzalez.cl/ )
- 1) El usuario es el numero de DNI
- 2) La clave la crea el sistema (letras y numeros, mayusculas y minusculas al azar, unos 15 caracteres)
- 3) La clave guarda en claro en la base de datos
- 4) La clave se envie en claro por email
Solución magnífica: el link de perdí la clave solicita el dni y en la página siguiente se informa al usuario: su clave se ha enviado al correo pepe@loquesea.com Santo remedio, la tasa de solicitudes de soporte ha caido estrepitosamente.while(1==1){ printf("\t firma infinita \n"); }
Excelente publicación
(Puntos:-1, Provocacion)En el fondo me dais lastima por eso os pongo algo.
Prohibido
(Puntos:0)Pues me he registrado para probar.
(Puntos:0)- Usuario inserta contraseña nueva.
- Se envía contraseña sin cifrar.
- Se hashea y se guarda en BD.
El procedimiento anterior. Enviar la contraseña antes de almacenar su hash en BD.Me sigue pareciendo poco seguro.
The Sybil
(Puntos:0)Me temo que he sido yo
(Puntos:3, Interesante)( Última bitácora: Jueves, 27 Febrero de 2014, 09:39h )
Simyo
(Puntos:0)