Seguridad en las aplicaciones WEB: CONTRASEÑAS

¿Habéis visto alguna vez un titular de noticias del estilo de «brecha de seguridad en empresa X deja al descubierto datos sensibles de los usuarios»? ¿Sí? Entonces podréis entender mejor este artículo. En caso contrario podéis ver una lista de aplicaciones comprometidas aquí.

¿Qué es una contraseña?

Las contraseñas se utilizan para verificar la identidad del usuario, con una clave que (idealmente) sólo la sabe el creador de la cuenta. Si otra persona sabe esta contraseña, podrá entrar sin más. Pero, ¿sabéis cómo se guardan las contraseñas en las bases de datos?

 

¿Cómo se guardan las contraseñas?

Es fácil pensar que las contraseñas se guardan «de forma segura», ¿pero qué significa «de forma segura» realmente? ¿A caso hay un guardaespaldas vigilándolas 24/7? No. 

Guardar una contraseña de forma segura significa que nadie, salvo la aplicación en ciertos casos, tiene acceso y si alguien no autorizado pudiera llegar a verla, esta sería inservible.

En la gran mayoría de aplicaciones, las contraseñas del usuario se guardan en una base de datos, para posteriormente verificarlas en el proceso de autenticación. Estas contraseñas, en casi un 100% de los casos se guardan hasheadas, es decir, procesadas con un algoritmo de un único sentido. Aunque todavía en 2019 algunas aplicaciones guardan sus contraseñas en plano, sin ningún tipo de protección.

 

Las aplicaciones guardan o más bien, deberían guardar, el resultado «Hashed password».

 

¿Cómo sé si mi contraseña se guarda en plano?

Es fácil saberlo. Tan sólo dirigíos al apartado «He olvidado mi contraseña» de la aplicación y seguid el proceso. Si durante el proceso os pide que introduzcáis una contraseña nueva o simplemente os da una nueva aleatoria, lo más probable es que vuestra contraseña esté protegida. En cambio, si os envían por correo vuestra contraseña actual, salid corriendo por que es muy peligroso!
En cualquier caso, la aplicación NUNCA debería saber cual es vuestra contraseña actual, si llegáis a verla en la aplicación es por que no la guardan de forma segura.

Esto es lo que NO deseas ver en tu bandeja de entrada:

Una aplicación de seguros me envía mi usuario (DNI) y mi contraseña en plano.

Posts Relacionados

Deja un comentario

Utilizamos cookies propias para el correcto funcionamiento de la página web y de todos sus servicios, y de terceros para analizar el tráfico en nuestra página web. Si continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información INFO

ACEPTAR
Aviso de cookies