|
Título: Contraseña en claro Publicado por: huerto123 en 12 Noviembre 2016, 16:19 pm Hola
Si una web le dices que no recuerdas tu contraseña y el sistema es capaz de mandarte un correo con la misma es que tiene la contraseña en claro en la BdD? Me ha pasdao con una pagina importante y me ha chocado. NOrmalmente se guarda el hash y no debería poder enviarse la misma en claro no al no poderse recuperar desde el hash. no? Título: Re: Contraseña en claro Publicado por: engel lex en 12 Noviembre 2016, 16:24 pm te sorprenderías cuantas webs no guardan hash... cuando una web se ponga "la contraseña no puede contener los siguientes simbolos.... no puede ser más de x (siendo x realmente grande, algo como 100) caracteres..." es casi seguro que no están usando hash, ya que no te preocupas por un hackeo si lo primero que haces con los inputs es tirarle hash...
agregando a esto... https://haveibeenpwned.com/PwnedWebsites (https://haveibeenpwned.com/PwnedWebsites) sitios que guardaban contraseña en texto plano y fueron hackeados ( me mantendré solo sobre los 100k afectados Citar 000webhost - 13 million customer records 126 - 6.4 million subscribers Adobe - (no estaba hasheada, estaba cifrada y partieron la ecriptación) - 153 million Adobe accounts Brazzers - 790k accounts ClixSense - 2.4 million subscriber Duowan.com - 2.6M accounts Fling - more than 40 million Foxy Bingo - 242k i-Dressup - 5.5 million accounts Lookbook - 1.1 million users Mate1.com - 27 million subscribers Neopets - almost 27 million unique email addresses NetEase - hundreds of millions of subscribers. Rambler - almost 100M accounts Sony - tens of thousands of accounts across multiple systems being exposed Taobao - 21 million subscribers VK - 100 million accounts Yahoo(yahoo voices) - half a million users YouPorn - 1.3M users y aquí no incluyo a los que tenian hashes débiles y sin sal (md5 y sha1) Título: Re: Contraseña en claro Publicado por: huerto123 en 13 Noviembre 2016, 13:13 pm Gracias, pero cuando introduczco la contraseña el sistema me puede decir que no use una determinada contraseña y luego cifrarla no?
Adobe y Yahoo tienen lc ontraseña en claro o mal cifrada? Que sistema recomiendas para cifrar? Joomla y la mayoria de sitios usan Md5 y no sabia que era vulnerable fácilmente. Título: Re: Contraseña en claro Publicado por: engel lex en 13 Noviembre 2016, 17:04 pm Citar Joomla y la mayoria de sitios usan Md5 actualmente no... actualmente usan blowfish o sistemas pesados acompañados de salt... Citar Adobe y Yahoo tienen lc ontraseña en claro o mal cifrada? ya me imagino que hasheada XD (adobe la tenía cifradas con sistemas debiles) Citar Que sistema recomiendas para cifrar? el predeterminado de php es super pesado y la gente le tiene idea http://php.net/manual/es/function.password-hash.php |