No creo que Movistar tenga tan mala seguridad hacia sus proveedores

(03-07-2014 17:05)tutecabrero escribió:  

(29-06-2014 01:26)Desert69 escribió:  Que, incluso si creyéramos en que la gente no reusa las passwords (ja), un montón de empleados de movistar pueden hacer operaciones en mi nombre anónimamente. Además de tener información mía que no deberían...

Como qué tipo de operaciones? por web yo mas que alguna que otra pregunta, cambio de plan, ver los consumos no puedo hacer o no le estoy dando el uso correcto, quizas.

Entiendo que es una violacion a la privacidad, pero de que puedan hacer operaciones a tu nombre anonimente, a qué te referis?

Mucha gente usa la misma clave para varias cosas. Si tienen tu clave de movistar la prueban en tu mail, en tu facebook, en tu cuenta de amazon, en tu cuenta de homebanking, etc... a eso apunta esto

Ah ok entiendo a donde apunta lo de las operaciones a tu nombre.. igual con ese criterio, hay gente que tiene acceso a las bases de datos de este foro, por poner un ejemplo, y como decis, hay mucha gente que utiliza las mismas claves para muchos lugares... el hecho de que esten encriptadas tampoco es una seguridad.

(07-07-2014 10:30)tutecabrero escribió:  Ah ok entiendo a donde apunta lo de las operaciones a tu nombre.. igual con ese criterio, hay gente que tiene acceso a las bases de datos de este foro, por poner un ejemplo, y como decis, hay mucha gente que utiliza las mismas claves para muchos lugares... el hecho de que esten encriptadas tampoco es una seguridad.

No entiendo a que te referís con "no es una seguridad". Lo que se guarda en la base de datos (o al menos, lo que se debería guardar) es un hash de la contraseña, y no la contraseña en texto plano. De esa manera si alguien se chorea la base de datos vería cosas como:

Cita:USUARIO: H3rnst
MAIL: asdfasdf@yahoo.com
CONTRASEÑA: $2f0sba40g9bmer0g9usm4hmjdg0amdfj0gb9am34jtf0adf

En cierta forma el tipo logró acceder a mis datos (mi mail, por ejemplo) pero si quiere entrar en yahoo, o amazon, o facebook y ver si uso la misma contraseña no va a poder, porque tiene el hash y no la contraseña. Mi contraseña de yahoo no es $2f0sba40g9bmer0g9usm4hmjdg0amdfj0gb9am34jtf0adf sino que es "asdfa", "cabra", "juan persie", o cualquier cosa.

Ahora podrás decir, "¿Y qué garantía tengo de que no va a poder descifrar la contraseña?". Bueno, eso depende del algoritmo que hayan usado para encriptarla y de la implementación.

Acá podés encontrar una explicación genial, pero en inglés , de todo este tema del hashing de passwords -> https://crackstation.net/hashing-security.htm

A eso mismo me refiero. Que este encriptada no te da una seguridad del 100%

Por ej.

Mi contraseña en utnianos es "password" en md5 es 5f4dcc3b5aa765d61d8327deb882cf99 con cualquier decrypt online http://www.md5decrypt.org/ -> te da el reverso.

A eso me refiero con que tampoco es una seguridad que este encriptada.

md5 hace rato que esta roto, para fines practicos es casi lo mismo guardar con md5 que en texto plano. cuado hablamos de encriptar se supone que usan un algoritmo fuerte que no se pueda desencriptar salvo por fuerza bruta

Olvidate, yo aun tengo las pass que usaba para produccion de telefonica españa (Año 2010) y aun anda... les chupa un huevo...

Además, para evitar ese problema de reversear el MD5 hicieron el tema de saltear las passwords también.

(07-07-2014 10:30)tutecabrero escribió:  Ah ok entiendo a donde apunta lo de las operaciones a tu nombre.. igual con ese criterio, hay gente que tiene acceso a las bases de datos de este foro, por poner un ejemplo, y como decis, hay mucha gente que utiliza las mismas claves para muchos lugares... el hecho de que esten encriptadas tampoco es una seguridad.

En el foro los pass estan encriptadas (creo que con sha1, pero eso ya deberia fijarme). Igual si, uno siempre debe en cierta forma "confiar" en los sitios en donde pone su pass, y utilizar distintos pass segun el sitio

(07-07-2014 11:27)Jarry escribió:  md5 hace rato que esta roto, para fines practicos es casi lo mismo guardar con md5 que en texto plano. cuado hablamos de encriptar se supone que usan un algoritmo fuerte que no se pueda desencriptar salvo por fuerza bruta

Md5 no es tan simple de desencriptar. Si se logro generar colisiones bajo ciertos parametros particulares por lo que esta roto, pero no lo hace tan inseguro ni ahi (hasta donde yo estaba enterado)

Respecto a md5 hace un par de años no estaban las rainbow tables que era algo asi como una mega base de datos con su pass en texto plano y el hash en md5 e iba comparando el hash contra el del a bd. Mucho no me acuerdo, se que pesaban varios gigas, pero si es verdad que dejaron de ser muy seguras. La verdad que mucha idea no tengo, ahora que algoritmo se esta utilizando para encriptar por lo menos las contraseñas de los foros?

Si, lo mismo que decia brunodiaz... en el foro las pass se guardan hasheadas, lo cual no quita que yo les recomiende usar una clave diferente que la que usan para otras cosas mas "sensibles"

(07-07-2014 12:36)sebasthian777 escribió:  Olvidate, yo aun tengo las pass que usaba para produccion de telefonica españa (Año 2010) y aun anda... les chupa un huevo...

---

(07-07-2014 13:13)Desert69 escribió:  Además, para evitar ese problema de reversear el MD5 hicieron el tema de saltear las passwords también.

jajaja. mejor que "salear".

Pero que no las cambien es otra negrada, pero distinta a no hashearlas.

Onda, *yo* hice un sitio pedorro hace 5 años en el que hasheaba las pass. Y lo hice a mano (nada de una gema de rails que lo hacía gratis, me encargué de chorearme la función de phpBB ).



¿De verdad algún hijo'e puta le dice "salear"?