Me apresuro a pensar que muchos están en la misma situación.
Cada vez que se filtran los passwords, ya sea en claro, o tan sólo los hash
(las contraseñas, pero cifradas). Nos ponemos como locos a cambiar nuestra
contraseña. ¿Pero hasta cuando? ¡Basta ya!
Ayer, estaba pensando en renovar mi teléfono móvil, algún
modelo relativamente “barato”, con más potencia que el que estoy utilizando
actualmente. Así que terminé en la conocida tienda “The phone house”. Al ser
una “gran compañía”, eso me aporta un valor en seguridad.
Como tengo menos cabeza que un pez muerto, tras probar 25
contraseñas, dije la cambio y ya está, una nueva contraseña. Total, en
ocasiones sé que me creo una contraseña al azar para los sitios, y obviamente
luego no la recuerdo. Las utilizo para sitios que realmente “no voy a volver”.
Son por así decirlo, de usar y tirar.
Los pasos para “cambiar” la contraseña, son relativamente
simples. Te piden la dirección de correo que has utilizado, y te llega a esa
misma dirección tu contraseña, en texto plano. ¡Estupendo!
Se puede apreciar, que el proceso es fácil, sencillo, y mal configurado. Ya que por norma, tienen que tener la contraseña
cifrada. Esto, es lo mínimo que les obliga la ley -si no estoy mal informado-. Supongo que aplicando un XOR
23, a
cada carácter, ya cumplirían y ciertamente, para mi sería una mierda. pero… No
hacen ni eso. Creo que alguien debería estipular que se utilicen en todas las
bases de datos un salt, que sea relativamente diferente y complejo. Y ya que
pido, evitar el uso de MD5. Ya deberíamos estar todos migrados a SHA1.
Como de teoría legal, no tengo mucha idea, un post de un
compañero de seguridad dicta lo siguiente:
[RDLOPD] Artículo 93. Identificación y autenticación.
1. El responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios.
2. El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.
3. Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad.
4. El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible.
Texto superior copiado de: SecurityAtWork
Con este texto en la mano, sólo puedo aportar que las cosas
no se están haciendo bien. No están pensando en mi seguridad. No quiero pensar
de que forma pueden estar guardados mis documentos bancarios, si tratan así
información tan sensible y personal como lo es mi contraseña.
PD: Por si alguien quiere quedar como el chico bueno de la película,
no he reportado nada de esto. Como alguno no estará de acuerdo. Tengo una política
un poco personal. Como eso de estar siempre trabajando gratis para otros. Si se
les regala la información, no contratan a un compañero que realice una
auditoria de verdad y/o encima estoy bajando el precio –ya que lo doy gratis, y
“sin valor”-
