Seguridad en las aplicaciones WEB: Contraseñas
¿Has visto alguna vez un titular de noticias del estilo de?: "Brecha de seguridad en empresa X deja al descubierto datos sensibles de los usuarios" ¿Sí? Entonces podrás entender mejor este artículo. En caso contrario puedes ver una lista de aplicaciones comprometidas aquí.
¿Qué es una contraseña?
Las contraseñas se utilizan para verificar la identidad del usuario, con una clave que (idealmente) sólo la sabe el creador de la cuenta. Si otra persona sabe esta contraseña, podrá entrar sin más. Pero, ¿sabes cómo se guardan las contraseñas en las bases de datos?
¿Cómo se guardan las contraseñas?
Es fácil pensar que las contraseñas se guardan "de forma segura", ¿pero qué significa "de forma segura" realmente? ¿A caso hay un guardaespaldas vigilándolas 24/7? No.
Guardar una contraseña de forma segura significa que nadie, salvo la aplicación en ciertos casos, tiene acceso y si alguien no autorizado pudiera llegar a verla, esta sería inservible.
En la gran mayoría de aplicaciones, las contraseñas del usuario se guardan en una base de datos, para posteriormente verificarlas en el proceso de autenticación. Estas contraseñas, en casi un 100% de los casos se guardan hasheadas, es decir, procesadas con un algoritmo de un único sentido. Aunque todavía en 2019 algunas aplicaciones guardan sus contraseñas en plano, sin ningún tipo de protección.
Las aplicaciones guardan o más bien, deberían guardar, el resultado "Hashed password".
¿Cómo sé si mi contraseña se guarda en plano?
Es fácil saberlo. Tan sólo dirígete al apartado "He olvidado mi contraseña" de la aplicación y sigue el proceso. Si durante el proceso te pide que introduzcas una contraseña nueva o simplemente te da una nueva aleatoria, lo más probable es que tu contraseña esté protegida. En cambio, si te envían por correo tu contraseña actual, ¡sal corriendo por que es muy peligroso!
En cualquier caso, la aplicación NUNCA debería saber cual es tu contraseña actual, si llegas a verla en la aplicación es por que no la guardan de forma segura.
Esto es lo que NO deseas ver en tu bandeja de entrada:
¿Qué puede hacer ESED por ti?
Tal vez te gustaría
Artículos relacionados