Cómo saber si un sitio almacena contraseñas como texto sin formato (y qué hacer)
Anuncio
Cada vez que se registra en un sitio, confía en ellos con sus datos personales. Tienen acceso a su dirección de correo electrónico al menos, y probablemente mucho más, incluida, por supuesto, su contraseña.
Pero, ¿cómo puede saber si el sitio está cuidando adecuadamente su información privada? ¿Por qué es un problema cuando los sitios almacenan detalles de la cuenta en texto sin formato? ¿Y qué puedes hacer al respecto?
¿Qué es el texto sin formato? ¿Por qué es un problema?
El texto sin formato es exactamente lo que parece: su contraseña se almacena exactamente como la escribe.
Digamos que un sitio que usa ha sido pirateado. El hacker tiene acceso a una lista de cuentas con contraseñas anotadas. Supongamos que su contraseña es "Pa $$ w0rd" (y realmente esperamos que no lo sea). El ciberdelincuente puede escanear la lista, encontrar su dirección de correo electrónico y leer fácilmente que su inicio de sesión "seguro" es "Pa $$ w0rd".
El gran problema es que no importa cuán oscura e indiscutible sea su contraseña. Porque cualquier persona con acceso a su cuenta puede leerlo, tan fácilmente como lo está leyendo.
Es aún más preocupante si usa la misma contraseña en numerosas plataformas. MakeUseOf desaconseja hacerlo por esta misma razón, al igual que todos los expertos en seguridad. No obstante, entendemos la tentación de mantener una contraseña que sea fácil de recordar.
Pero si lo hace, corre el riesgo de que los piratas informáticos utilicen fuentes de texto sin formato filtradas para ingresar a sus cuentas bancarias en línea, su Facebook y cualquier otra cosa en la que duplique la contraseña.
Se estima que el 30 por ciento de los sitios de comercio electrónico almacenan sus contraseñas en texto sin formato. Esto no es algo que podamos pasar por alto fácilmente.
Tampoco se limita a sitios pequeños e independientes. Algunas grandes empresas han quedado atrapadas, como la NHL, Match.com, LinkedIn, el National Trust y Vodafone. Afortunadamente, desde entonces han implementado métodos de almacenamiento más seguros.
¿Cómo se pueden almacenar las contraseñas de forma segura?
¿Cuál es la alternativa al texto plano? En realidad, hay algunas opciones para almacenar contraseñas, pero no todas son tan seguras como pueden parecer inicialmente.
Muchos sitios usan una función hash, que transforma su contraseña en otro conjunto de dígitos. Si entra un hacker, solo puede ver estos personajes aleatorios. Sin embargo, es un algoritmo defectuoso, porque cada vez que ingresa su contraseña, genera el mismo hash. El sistema luego se asegura de que esos dígitos se correlacionen para darle acceso a su cuenta.
Y sí, pueden romperse, especialmente a través de ataques de fuerza bruta.
Sin embargo, si ejecuta un sitio de comercio electrónico, debería usar hashes salados. Estos toman el mismo principio, pero los dígitos adicionales refuerzan su contraseña antes de que ingrese al algoritmo hash.
Los hash lentos son aún mejores: limitan la cantidad de veces que un hacker puede atacar el conjunto de datos por segundo. Si un ciberdelincuente sabe que les llevará más tiempo descifrar una contraseña, es menos probable que apunten a la cuenta.
Cómo saber si un sitio almacena contraseñas como texto sin formato
Es difícil saberlo a menos que trabaje para la empresa en cuestión. Y si lo hace, debe alertar a su equipo técnico de que almacenar datos privados en texto sin formato no es ético.
Aún así, hay un buen indicador por el que puedes pasar. Si configura una cuenta y el sitio le envía un correo electrónico que enumera su contraseña, es probable que se almacene en texto sin formato.
Ciertamente no son seguras si hace clic en "Olvidé mi contraseña" y se la envían por correo electrónico. Si hubiera sido encriptado, no podrían hacerlo. En su lugar, deberá verificar que es su cuenta y luego restablecer su contraseña por completo.
Los correos electrónicos no son seguros de todos modos. Son susceptibles a la piratería. Incluso si el sitio no almacena su información como texto sin formato, enviarle un mensaje detallado no es seguro.
Si desea adoptar un enfoque exhaustivo de sus activos en línea, use una contraseña de marcador de posición cuando se registre en una tienda en línea. Luego haga clic en "Perdí mi contraseña" (o una variación de la misma) y revise su correo electrónico. Si la única opción es restablecerlo, hazlo.
De lo contrario, si puede ver claramente su contraseña de marcador de posición en su bandeja de entrada, esta es una señal preocupante.
También puede visitar Plaenxt Offenders, un sitio dedicado a destacar empresas que no toman su seguridad lo suficientemente en serio.
¿Qué puedes hacer al respecto?
Si sospecha que un sitio almacena su contraseña en texto sin formato, envíela por correo electrónico. Pídales que aborden sus inquietudes.
Debería tener noticias suyas, en cuyo caso es probable que le aseguren que usan cifrado para proteger sus datos. Pero no dejes que eso te disuada. ¡No crea el mito de que el cifrado es infalible! ¡No crea estos 5 mitos sobre el cifrado! ¡No crea en estos 5 mitos sobre el cifrado! El cifrado suena complejo, pero es mucho más sencillo de lo que la mayoría piensa. Sin embargo, es posible que te sientas demasiado a oscuras para usar el cifrado, ¡así que vamos a reventar algunos mitos sobre el cifrado! Lee mas .
De lo contrario, tenemos que hablar sobre la limitación de daños. No use las mismas credenciales para todo. Sabemos que es tentador y probablemente pienses que no hay ningún daño real. Pero te equivocas. Estamos seguros de que una empresa que ha usado en el pasado ya ha sido hackeada. Eso podría ser MySpace. Su cuenta olvidada de MySpace está filtrando todos sus secretos. Su cuenta olvidada de MySpace está filtrando todos sus secretos. ¿Recuerda MySpace? La red social con la que te registraste años antes de Facebook ... oh, ¿te olvidaste? Bueno, MySpace no te ha olvidado. Y podría haber estado filtrando toda su información privada. Leer más, Tumblr, Dropbox ... o una gran cantidad de sitios.
Verifique escribiendo su dirección de correo electrónico en Have I Been Pwned.
¿Los administradores de contraseñas protegen el texto sin formato?
Los administradores de contraseñas son una forma ordenada de mantener sus credenciales seguras sin tener que recordarlas todas. Utiliza una contraseña segura para acceder al administrador que conoce el resto por ti.
Pero no ayudan a combatir sitios que usan texto sin formato. El administrador es un sistema de almacenamiento para su seguridad, no el del sitio. Sus datos privados seguirán siendo legibles si alguien ingresa a su cuenta.
Sin embargo, está claramente interesado en guardar su información privada para usted mismo, por lo que definitivamente hay beneficios de usar administradores de contraseñas. 7 Superpoderes de Clever Password Manager. Debe comenzar a usar 7 Superpoderes de Clever Password Manager. Debe comenzar a usar. excelentes características, pero ¿sabías sobre estas? Aquí hay siete aspectos de un administrador de contraseñas que debe aprovechar. Lee mas .
¡Las contraseñas de texto sin formato no son seguras!
Texto simple significa que su contraseña se almacena exactamente como la escribe. Y eso es un problema porque los hackers pueden leerlo fácilmente. Asegúrese de leer sobre el volcado de credenciales y cómo protegerse ¿Qué es el volcado de credenciales? Protéjase con estos 4 consejos ¿Qué es el volcado de credenciales? Protéjase con estos 4 consejos Los hackers tienen una nueva arma: la eliminación de credenciales. ¿Qué es? ¿Cómo puede evitar que sus cuentas se vean comprometidas? Lee mas .
Una vez que se registre en un sitio, los correos electrónicos de bienvenida que recibió no deberían incluir su contraseña; si lo hacen, eso es indicativo de una cuenta usando texto sin formato. Si hace clic en "Olvidé mi contraseña" y le envían por correo electrónico la contraseña real, es una señal definitiva de que su información personal se mantiene de forma insegura.
¿Le preocupa que un sitio no lo haga de forma segura? Envíeles un correo electrónico sobre sus preocupaciones. Podrían asegurarle que usan cifrado, pero nada es irrompible. De lo contrario, descubra cómo los sitios web de buena reputación deben almacenar las contraseñas. ¿Cómo mantienen seguros los sitios web? ¿Cómo mantienen seguros los sitios web sus contraseñas? Con las infracciones de seguridad en línea regulares reportadas, sin duda le preocupa cómo los sitios web cuidan su contraseña. De hecho, para su tranquilidad, esto es algo que todos deben saber ... Lea más y cuénteles.
Explore más sobre: Seguridad en línea, Contraseña.