Seguro que alguna vez te has visto en la situación de apuntarte a un servicio online o crear una cuenta personal en una página web, y a los pocos segundos recibir un mensaje de correo electrónico con tus datos de usuario, entre ellos tu contraseña, tal cual, en texto plano.
Esta práctica supone un enorme riesgo de seguridad, porque por muy seguras que sean tus contraseñas, o incluso si usas un gestor de contraseñas, si un servicio las almacena tal cual y las envía por email en texto plano, están al alcance de cualquier ciberdelincuente, que no tendrá que molestarse ni en descifrarlas.
Hartos de esta impunidad y esta falta de seguridad, Igal Tabachnik y Omer van Kloeten decidieron crear la web Plain Text Offenders (algo así como "Criminales del texto plano"), con la idea de recopilar en ella todos esos emails enviados por servicios online y páginas web con las contraseñas de sus usuarios tal cual, a la vista de cualquiera que reciba el mensaje.
La web no puede ser más simple: nada más entrar en ella puedes ver los últimos ejemplos de una pobre gestión de contraseñas aportados por usuarios de todo el mundo, junto a una barra lateral que permite navegar por diferentes secciones de la web.
Entre estas secciones tienes, por supuesto, el formulario para enviar tu aportación (si es que alguna vez recibes una contraseña en estas condiciones) y, curiosamente, una sección especialmente dedicada a los desarrolladores, que responde preguntas planteadas por éstos de forma habitual.
Otra sección curiosa es la de Reformed offenders ("delincuentes reformados"), en la que aparece una lista de páginas que gestionaban sus contraseñas sin seguridad alguna, fueron denunciadas en Plain Text Offenders y a partir de ese momento mejoraron su política de seguridad con respecto a las contraseñas de sus usuarios.
Una web, como decíamos, muy sencilla, pero que también enseña una importante lección: la seguridad de las contraseñas no es sólo cosa del usuario, sino también de los servicios online a los que éste se la confía.
Enlace | Plain Text Offenders
En Genbeta | A favor / en contra de usar un gestor de contraseñas: estos son los argumentos
Ver 10 comentarios
10 comentarios
Usuario desactivado
El problema de las contraseñas enviadas en texto plano no es tanto el envío en sí, sino que ello implica que está almacenada en su base de datos sin ningún tipo de hash, y esto es una práctica pésima.
Una contraseña tiene que pasar por un algoritmo que nos devuelva otra cadena de texto llamado hash, y este proceso tiene que ser irreversible y determinista (una determinada cadena de texto siempre nos devuelve el mismo hash, y a partir de ese hash no se puede volver a la cadena de texto original). Cada vez que un usuario envía su password, se tiene que volver a ejecutar dicho algoritmo, y lo que se compara no son las contraseñas, sino sus hashes. De este modo, si se consigue acceder a una base de datos, no se conseguirán las contraseñas de usuario, sino un hash, a partir del cual, en teoría, no se podría recuperar la contraseña.
Una contraseña en texto plano evidencia que no existe este proceso, por lo que nuestros passwords son visibles ya no sólo por posibles atacantes, sino por cualquier empleado con acceso a esa base de datos.
zimokapino
Lo único malo que le veo a esta página es que ahora cualquiera tiene una base de datos de los servicios más fáciles de atacar y obtener información relevante..
Por otro lado no sé de otra forma de luchar contra a esto.
Solo espero que al menos desde la página avisen a las empresas que lleva estas prácticas con sus contraseñas de que han sido marcados como web no segura, para que puedan corregirlo... Si no, de bien poco servirá.