¿Has visto alguna vez un titular de noticias del estilo de?: "Brecha de seguridad en empresa X deja al descubierto datos sensibles de los usuarios" ¿Sí? Entonces podrás entender mejor este artículo. En caso contrario puedes ver una lista de aplicaciones comprometidas aquí.
Las contraseñas se utilizan para verificar la identidad del usuario, con una clave que (idealmente) sólo la sabe el creador de la cuenta. Si otra persona sabe esta contraseña, podrá entrar sin más. Pero, ¿sabes cómo se guardan las contraseñas en las bases de datos?
Es fácil pensar que las contraseñas se guardan "de forma segura", ¿pero qué significa "de forma segura" realmente? ¿A caso hay un guardaespaldas vigilándolas 24/7? No.
Guardar una contraseña de forma segura significa que nadie, salvo la aplicación en ciertos casos, tiene acceso y si alguien no autorizado pudiera llegar a verla, esta sería inservible.
En la gran mayoría de aplicaciones, las contraseñas del usuario se guardan en una base de datos, para posteriormente verificarlas en el proceso de autenticación. Estas contraseñas, en casi un 100% de los casos se guardan hasheadas, es decir, procesadas con un algoritmo de un único sentido. Aunque todavía en 2019 algunas aplicaciones guardan sus contraseñas en plano, sin ningún tipo de protección.
Las aplicaciones guardan o más bien, deberían guardar, el resultado "Hashed password".
Es fácil saberlo. Tan sólo dirígete al apartado "He olvidado mi contraseña" de la aplicación y sigue el proceso. Si durante el proceso te pide que introduzcas una contraseña nueva o simplemente te da una nueva aleatoria, lo más probable es que tu contraseña esté protegida. En cambio, si te envían por correo tu contraseña actual, ¡sal corriendo por que es muy peligroso!
En cualquier caso, la aplicación NUNCA debería saber cual es tu contraseña actual, si llegas a verla en la aplicación es por que no la guardan de forma segura.
Esto es lo que NO deseas ver en tu bandeja de entrada:
En ESED, como partners de LastPass, trabajamos con un gestor de contraseñas para garantizar que un tercero no autorizado pueda traspasar tus barreras.
Ofrecemos un servicio de almacenaje interno de credenciales tanto de la infraestructura como de los usuarios de la empresa. Un portal de Restablecimiento de Autoservicio que te permite recuperar o desbloquear fácilmente tu propia contraseña de Active Directory.
Para más información, puedes contactar con nosotros en el siguiente enlace.