Seguridad en las aplicaciones WEB: Contraseñas

De ESED - It & CyberSecurity

seguridad contraseñas

¿Has visto alguna vez un titular de noticias del estilo de?: "Brecha de seguridad en empresa X deja al descubierto datos sensibles de los usuarios" ¿Sí? Entonces podrás entender mejor este artículo. En caso contrario puedes ver una lista de aplicaciones comprometidas aquí.

¿Qué es una contraseña?

Las contraseñas se utilizan para verificar la identidad del usuario, con una clave que (idealmente) sólo la sabe el creador de la cuenta. Si otra persona sabe esta contraseña, podrá entrar sin más. Pero, ¿sabes cómo se guardan las contraseñas en las bases de datos?

¿Cómo se guardan las contraseñas?

Es fácil pensar que las contraseñas se guardan "de forma segura", ¿pero qué significa "de forma segura" realmente? ¿A caso hay un guardaespaldas vigilándolas 24/7? No. 

Guardar una contraseña de forma segura significa que nadie, salvo la aplicación en ciertos casos, tiene acceso y si alguien no autorizado pudiera llegar a verla, esta sería inservible.

En la gran mayoría de aplicaciones, las contraseñas del usuario se guardan en una base de datos, para posteriormente verificarlas en el proceso de autenticación. Estas contraseñas, en casi un 100% de los casos se guardan hasheadas, es decir, procesadas con un algoritmo de un único sentido. Aunque todavía en 2019 algunas aplicaciones guardan sus contraseñas en plano, sin ningún tipo de protección.

 seguridad contraseñas1+

Las aplicaciones guardan o más bien, deberían guardar, el resultado "Hashed password".

¿Cómo sé si mi contraseña se guarda en plano?

Es fácil saberlo. Tan sólo dirígete al apartado "He olvidado mi contraseña" de la aplicación y sigue el proceso. Si durante el proceso te pide que introduzcas una contraseña nueva o simplemente te da una nueva aleatoria, lo más probable es que tu contraseña esté protegida. En cambio, si te envían por correo tu contraseña actual, ¡sal corriendo por que es muy peligroso!
En cualquier caso, la aplicación NUNCA debería saber cual es tu contraseña actual, si llegas a verla en la aplicación es por que no la guardan de forma segura.

Esto es lo que NO deseas ver en tu bandeja de entrada:

seguridad contraseñas 2 Una aplicación de seguros me envía mi usuario (DNI) y mi contraseña en plano.

¿Qué puede hacer ESED por ti? 

En ESED, como partners de LastPass, trabajamos con un gestor de contraseñas para garantizar que un tercero no autorizado pueda traspasar tus barreras. 

Ofrecemos un servicio de almacenaje interno de credenciales tanto de la infraestructura como de los usuarios de la empresa. Un portal de Restablecimiento de Autoservicio que te permite recuperar o desbloquear fácilmente tu propia contraseña de Active Directory.

Nueva llamada a la acción

Para más información, puedes contactar con nosotros en el siguiente enlace