No Guarde las Contraseñas de sus Usuarios como Texto Plano!!!

Fecha: March 24th, 2010 | Categoría: Informatica | 6 Comments »

Esta mañana un emprendimiento argentino fué victima de un ataque y las contraseñas de todos sus usuarios fueron comprometidas.

Los dueños han tenido que dirigirse a sus usuarios y advertirles que cambien la contraseña si es la misma que usan en otras páginas web, debido a que los intrusos tienen los datos de las contraseñas y emails de todos los usuarios.

http://blog.geelbe.com/ar/2010/03/24/importante-informacion-de-seguridad/

Este accidente le ha pasado a muchas empresas grandes a lo largo de la historia de internet, siendo el ejemplo más importante Reddit (formada por gente muy capaz, hackers y con mucho respaldo ya que fueron tutoreados por Paul Graham y Ycombinator). Es un caso común, suele suceder que se comprometan las bases de datos de usuarios, incluso ha pasado a grandes empresas informáticas, como por ejemplo los ataques de hackers chinos a gigantes como Google, Adobe, Yahoo! entre otros:

http://www.pcworld.com/article/186938/yahoo_reportedly_hit_by_china_hackers.html

Lo que se suele hacer es mezclar la contraseña del usuario con un texto aleatorio (en la jerga informática esto es llamado "salar la contraseña") y luego aplicar un algoritmo de hashing. Por ejemplo, si mi contraseña es "hola", yo la "salo" con "misitioweb.com" y le aplico el algoritmo md5:

md5("hola" + "misitioweb.com") = 'd675c75441f66b2ddfcbf1510a21f259'

Con lo que se puede verificar que la contraseña ingresada cada vez que el usuario se conecta sea la original (se comparan las claves saladas y hasheadas, no se conocen aún "colisiones" de claves para el estándar estadounidense actual, el SHA-1) y al mismo tiempo, nadie tiene manera de recuperar la contraseña original, debido a que no existe manera de tomar la clave encriptada y transformarla nuevamente a la contraseña original.

No hay excusa para almacenar contraseñas en texto plano, recuperar la contraseña debe hacerse generando una nueva y mandandolá por e-mail.

  • http://Website Ezequiel

    Generalmente, las empresas empiezan chicas y por eso descuidan estos detalles gigantescos. El razonamiento es 'quién va a querer atacarme? Mejor usar mi tiempo en cosas mas inmediatas'

    Pero después la empresa crece y los errores no se corrigen. Y pasa esto.

  • http://topsy.com/trackback?url=http://estebanordano.com.ar/no-guarde-las-contrasenas-de-sus-usuarios-como-texto-plano/ Tweets that mention No Guarde las Contraseñas de sus Usuarios como Texto Plano!!! | estebanordano.com.ar — Topsy.com

    [...] This post was mentioned on Twitter by Esteban Ordano and Esteban Ordano, Esteban Ordano. Esteban Ordano said: @briascoi yo estoy de acuerdo con @elteto, no es un problema de seguridad, es la regla número 1 de seguridad. http://bit.ly/bHrFmZ [...]

  • http://twitter.com/pozzoeRand Ezequiel

    Una cosa que me doy cuenta ahora que vi la lista de passwords leakeada. No se si es un error de mi parte, pero las contraseñas estaban todas codificadas con base64, pero lo mas gracioso... me parece a mi o estaban saladas????

    Todas terminan en ||xyz.

  • http://www.jinik.com.ar Nicolás Rougier

    Yo hace poco empecé con esto de los usuarios, y lo primero que busque fue como encriptarlo :P aunque todabia no entiendo bien que cambias al salar la contraseña, pero viniendo de vos, debe servir xD
    De paso te meto chivo, no se si viste, pero estoy haciendo una aplicación web sobre subtes, por ahi te sirve =)
    http://www.subba.com.ar
    Abrazo!

  • http://estebanordano.com.ar/ eordano

    Gracias Ezequiel por tus comentarios, muy cómico que hayan salado las passwords :P

    Nico: Jaja hasta un diseñador gráfico encripta las passwords esto es muy mala prensa :P

    El otro día entré en Subba, me sirvió y no sabía de donde lo había escuchado!!!, es fantástico, vos sabés que con un amigo pensamos hacer algo como eso pero para bondis (!!!)

    Un saludo enorme loco, algún día de estos organicemos algo que pasó un año y nos RE colgamos.

    Tal vez ir al casino con el otro nico?

  • http://www.jinik.com.ar Nicolás Rougier

    Jajaja, igualmente mi idea también es expandirme a trenes y bondis, pero cuando ya tenga una infraestructura medianamente armada. Ahora estoy haciendo el desarrollo para poder hacer viajes completos ( como en "comoviajo" pero que andan xD), pero esta muy verde todavía. Después por ahí te pido ayuda con algunos algoritmos :P
    Por ahora me la paso leyendo el API de google maps, estoy haciendo un desarrollo para hacer viajes ( como en “comoviajo.com” pero que anden xD) así que por ahí te pido ayuda con algunos algoritmos
    Y si, nos tenemos que juntar, aunque la idea del casino me parece que no va demasiado, si queres nos hacemos un pocker entre nosotros :P