Varias compañías han admitido recientemente almacenar contraseñas en formato de texto plano. Es como almacenar una contraseña en el Bloc de notas y guardarla como un archivo .txt. Las contraseñas deben ser saladas y codificadas por seguridad, entonces, ¿por qué no sucede eso en 2019?
Por qué las contraseñas no deben almacenarse en texto sin formato
designer491 / Shutterstock
Cuando una empresa almacena contraseñas en texto plano, cualquier persona con la base de datos de contraseñas: o cualquier otro archivo en el que estén almacenadas las contraseñas, puede leerlas. Si un hacker obtiene acceso al archivo, puede ver todas las contraseñas.
Almacenar contraseñas en texto plano es una práctica terrible. Las empresas deben usar las contraseñas de sal y hash, que es otra forma de decir "agregar datos adicionales a la contraseña y luego codificar de una manera que no se pueda revertir". Por lo general, eso significa que incluso si alguien roba las contraseñas de una base de datos, Eres inutilizable. Cuando inicia sesión, la empresa puede verificar que su contraseña coincida con la versión codificada almacenada, pero no pueden "retroceder" desde la base de datos y determinar su contraseña.
Entonces, ¿por qué las empresas almacenan contraseñas en texto sin formato? ? Lamentablemente, a veces las empresas no toman en serio la seguridad. O eligen comprometer la seguridad en nombre de la conveniencia. En otros casos, la compañía hace todo bien al almacenar su contraseña. Pero podrían agregar capacidades de registro excesivamente entusiastas, que registran las contraseñas en texto sin formato.
Varias compañías han almacenado contraseñas de forma incorrecta
Es posible que ya se vea afectado por prácticas inadecuadas porque Robinhood, Google, Facebook, GitHub, Twitter y otros almacenaron contraseñas en texto plano.
En el caso de Google, la compañía estaba utilizando correctamente las contraseñas para la mayoría de los usuarios. Pero las contraseñas de las cuentas de G Suite Enterprise se almacenaron en texto sin formato. La compañía dijo que esto era una práctica sobrante de cuando le dio a los administradores de dominio herramientas para recuperar contraseñas. Si Google hubiera almacenado correctamente las contraseñas, eso no hubiera sido posible. Solo un proceso de restablecimiento de contraseña funciona para la recuperación cuando las contraseñas se almacenan correctamente.
Cuando Facebook también admitió almacenar contraseñas en texto plano, no dio la causa exacta del problema. Pero puede inferir el problema de una actualización posterior:
... descubrimos registros adicionales de contraseñas de Instagram que se almacenan en un formato legible.
A veces una empresa hará todo bien al almacenar inicialmente su contraseña. Y luego agregue nuevas características que causen problemas. Además de Facebook, Robinhood, Github y Twitter registraron accidentalmente contraseñas de texto sin formato.
El registro es útil para encontrar problemas en aplicaciones, hardware e incluso código de sistema. Pero si una empresa no prueba esa capacidad de registro a fondo, puede causar más problemas que resuelve.
En el caso de Facebook y Robinhood, cuando los usuarios proporcionaron su nombre de usuario y contraseña para iniciar sesión, la función de registro podía ver y registrar los nombres de usuario y las contraseñas a medida que se escribían. Luego almacenó esos registros en otro lugar. Cualquiera que tuviera acceso a esos registros tenía todo lo que necesitaba para hacerse cargo de una cuenta.
En raras ocasiones, una compañía como T-Mobile Australia puede ignorar la importancia de la seguridad, a veces en nombre de la conveniencia. En un intercambio de Twitter ya eliminado, un representante de T-Mobile explicó a un usuario que la compañía almacena las contraseñas en texto sin formato. Almacenar las contraseñas de esa manera permitió a los representantes de servicio al cliente ver las primeras cuatro letras de una contraseña para fines de confirmación. Cuando otros usuarios de Twitter señalaron adecuadamente qué tan malo sería si alguien pirateara los servidores de la compañía, el representante respondió:
¿Qué pasa si esto no sucede porque nuestra seguridad es increíblemente buena?
La compañía eliminó esos tweets y luego anunció que todas las contraseñas pronto serían saladas y picadas. Pero no pasó mucho tiempo antes de que la empresa alguien hubiera violado sus sistemas. T-Mobile dijo que las contraseñas robadas estaban encriptadas, pero eso no es tan bueno como las contraseñas hash.
Cómo deberían almacenar las contraseñas las empresas
Las empresas deberían nunca almacene contraseñas de texto sin formato. En cambio, las contraseñas deben ser saladas, luego picadas. Es importante saber qué es la salazón y la diferencia entre cifrar y hacer hash.
Salar agrega texto adicional a su contraseña
Salar las contraseñas es un concepto sencillo. El proceso esencialmente agrega texto adicional a la contraseña que proporcionó.
Piense en ello como agregar números y letras al final de su contraseña normal. En lugar de usar "Contraseña" para su contraseña, puede escribir "Contraseña123" (nunca use ninguna de estas contraseñas). Salar es un concepto similar: antes de que el sistema agregue su contraseña, le agrega texto adicional.
Por lo tanto, incluso si un pirata informático ingresa a una base de datos y roba datos del usuario, será mucho más difícil determinar qué la verdadera contraseña es El pirata informático no sabrá qué parte es sal y qué parte es contraseña.
Las empresas no deben reutilizar los datos salados de contraseña a contraseña. De lo contrario, puede ser robado o roto y, por lo tanto, inutilizado. La variación adecuada de los datos salados también evita las colisiones (más sobre eso más adelante).
El cifrado no es la opción adecuada para las contraseñas
El siguiente paso para almacenar correctamente su contraseña es hacer un hash. El hash no debe confundirse con el cifrado.
Cuando cifra los datos, los transforma levemente en función de una clave. Si alguien conoce la clave, puede volver a cambiar los datos. Si alguna vez jugaste con un anillo decodificador que te decía "A = C", entonces has cifrado los datos. Sabiendo que "A = C", puede descubrir que ese mensaje era solo un comercial de Ovaltine.
Si un pirata informático irrumpe en un sistema con datos cifrados y logran robar la clave de cifrado también, entonces sus contraseñas también pueden ser texto sin formato.
El hash transforma su contraseña en guepardo
El hash de la contraseña transforma su contraseña fundamentalmente en una cadena de texto ininteligible. Cualquiera que mirara un hash vería galimatías. Si usó "Contraseña123", el hash podría cambiar los datos a "873kldk # 49lkdfld # 1". Una compañía debe usar su contraseña antes de almacenarla en cualquier lugar, de esa manera nunca tendrá un registro de su contraseña real.
Esa naturaleza del hash lo convierte en un mejor método para almacenar su contraseña que el cifrado. Mientras que puede descifrar datos cifrados, no puede "deshacer" los datos. Por lo tanto, si un pirata informático ingresa a una base de datos, no encontrará una clave para desbloquear los datos cifrados.
En su lugar, tendrá que hacer lo que una empresa hace cuando envía su contraseña. Adivina una contraseña (si el pirata informático sabe qué sal usar), córtala en hash y luego compárala con el hash en el archivo para una coincidencia. Cuando envía su contraseña a Google o a su Banco, siguen los mismos pasos. Algunas compañías, como Facebook, pueden incluso hacer "conjeturas" adicionales para dar cuenta de un error tipográfico.
Los piratas informáticos eventualmente pueden abrirse camino a través de datos hash, pero es principalmente un juego de probar cada contraseña imaginable y esperar un partido. El proceso todavía lleva tiempo, lo que le da tiempo para protegerse.
Qué puede hacer para protegerse contra las violaciones de datos
No puede evitar empresas que manejan incorrectamente sus contraseñas. Y desafortunadamente, es más común de lo que debería ser. Incluso cuando las empresas almacenan correctamente su contraseña, los piratas informáticos pueden violar los sistemas de la empresa y robar los datos cifrados.
Dada esa realidad, nunca debe reutilizar las contraseñas. En su lugar, debe proporcionar una contraseña complicada diferente para cada servicio que utilice. De esa manera, incluso si un atacante encuentra su contraseña en un sitio, no puede usarla para iniciar sesión en sus cuentas en otros sitios web. Las contraseñas complicadas son increíblemente importantes porque cuanto más fácil sea adivinar su contraseña, antes un hacker puede romper el proceso de hash. Al hacer la contraseña más complicada, está ganando tiempo para minimizar el daño.
El uso de contraseñas únicas también minimiza ese daño. A lo sumo, el hacker obtendrá acceso a una cuenta, y usted puede cambiar una sola contraseña más fácilmente que docenas. Las contraseñas complicadas son difíciles de recordar, por lo que recomendamos un administrador de contraseñas. Los administradores de contraseñas generan y recuerdan contraseñas para usted, y puede ajustarlas para que sigan las reglas de contraseña de casi cualquier sitio.
Algunos, como LastPass y 1Password, incluso ofrecen servicios que verifican si sus contraseñas actuales están comprometidas.
Otra buena opción es habilitar la autenticación en dos pasos. De esa manera, incluso si un pirata informático compromete su contraseña, aún puede evitar el acceso no autorizado a sus cuentas.
Si bien no puede evitar que una empresa maneje mal sus contraseñas, puede minimizar las consecuencias protegiendo adecuadamente sus contraseñas y cuentas.
RELACIONADO: por qué debe usar un administrador de contraseñas y cómo comenzar
Fuente: How to Geek
Comentarios
Publicar un comentario