Cita:Detectamos que tu contraseña es muy débil, por favor te pedimos que generes una contraseña más sólida por la seguridad de tu información.
Este mensaje me acaba de aparecer en el home del SIGA despues de loguearme. Si mi contraseña ya está almacenada en el sistema, ¿cómo tienen forma de saber si es insegura o no? ¿No tendría que estar encriptada/hasheada la contraseña?
Obviamente quiere decir que están manipulando la contraseña en plaintext = fail.
Edit: Como ya mencionaron abajo, es posible que analice la contraseña antes de mandarla al sistema. Así que esto no necesariamente implica una falla de seguridad. Además, el mensaje me aparece por más que no me haya logueado:
![[Imagen: YfKisto.png]](https://camo.utnianos.com.ar/9b448ed40d06b04c7d303717024776324858a186/687474703a2f2f692e696d6775722e636f6d2f59664b6973746f2e706e67)
O que le pusieron ese mensaje a todo el mundo
claro, para que cambies la contraseña
porque
(05-03-2013 11:41)Drarko escribió: [ -> ]Paso a explicar.
Por decision de arriba, desde hace rato el SIGA no tiene login propio, la pagina de login que ven cuando entran, la maneja DiTIC (Direccion de Tecnologias de la Informacion y Comunicaciones) y es comun con otros sistemas de la facu, como Biblioteca o la pagina de la SAE.
Estos muchachos impresentables, tenian terrible agujero de seguridad que comprometio la base de datos de las claves SIGMA.
Por motivos de seguridad se pregunta un dato propio de la base de datos del SIGA, que NO fue comprometida xq no estan en DiTIC, sino que la manejamos nosotros mismos.
No se si les dara la cara a esta gente inutil como para mandar un comunicado oficial... por eso hay tanta discrecion por el momento.
Y cuando a uno le dicen que los que deberian encargarse de la seguridad en los datos de login, son taaaan pelotudos... Tiene que sacar de la galera una solucion en 15 minutos.
Perdon por los problemas, preferimos que se enojen y tengan que llamar para ver que final tienen que poner, a que cualquiera que haya accedido a los datos de DiTIC pueda hacerse con sus datos del SIGA, despues de todo, tienen su clave SIGMA y podrian entrar como si fuera ustedes.
Por que el ultimo final aprobado? porque mail, DNI, Telefono, Direccion, Nombre, y otros datos comunes TAMBIEN esta en la base de DiTIC.
DiTIC es el responsable de las claves SIGMA, los datos de la SAE, Biblioteca, cuentas @frba.utn.edu.ar, cuentas SINAP y otros.
Hace unos meses, el equipo SIGA habia arreglado con DiTIC y la SAE desprenderse del login con clave SIGMA, y usar un login propio, con mail y contraseña y luego brindar el servicio de login para los demas sistemas, dado que el alumno tiene un primer contacto con el SIGA antes que con otra oficina y tenemos los datos mas actualizados.
Hace dos semanas nos frenaron el proyecto... por decisiones administrativas...
gonnza puede atestiguar sobre el ataque y lo pelotudo que fue.
En forma personal, hago responsable a DiTIC, a cargo de Ing. Marcelo Doallo. Tiene un equipo de gente ineficiente, todos pasantes que no se toman en serio su trabajo, ningun ingeniero, todos alumnos que tocan de oido muchas cosas. Poniendo en juego la seguridad de datos sensibles.
O al loguearte la contrasenaa que pusiste para ingresar pasa por un algoritmo que detecte que tan segura es. Sin meterse asi en la base de datos.
El mensaje es masivo, se les muestra a todos, para que cambien su clave SIGMA, debido a que por culpa de DITIC se comprometió la base de datos de la SAE. Esta explicado en el mensaje que cito Gonnza.
Yo pensé lo mismo, ¿cómo no encriptan las contraseñas? O.O Pero bueno, si es un mensaje masivo porque hubo una falla de seguridad está bien.
Yo cambie la clave y me aparecio de vuelta el mensaje..... Alguien sabe las politicas que tiene el sistema para que la password sea segura?
la politica es que si te logueas, tu contraseña es debil, me parece
Yo la cambie y me sigue apareciendo. Encima no es una palabra de diccionario ni nada.
No entiendo como no los cagan a tiros!
- Off-topic:
- Mi contraseña es: SeguraotchamAmarraotchamSeguraotchamtchamtchamtchamtcham69
Es insegura?
Les va a seguir apareciendo porque es un texto plano que está en la página de cartelera
La van a cambiar 20 veces y el mensaje va a seguir estando
Ni controlaron las passwords; alguien ajeno al SIGA detectó un agujero de seguridad y lo están remachando, digamos.
(12-03-2013 10:07)nanuiit escribió: [ -> ]Les va a seguir apareciendo porque es un texto plano que está en la página de cartelera
La van a cambiar 20 veces y el mensaje va a seguir estando
Ni controlaron las passwords; alguien ajeno al SIGA detectó un agujero de seguridad y lo están remachando, digamos.
this
te das cuenta porque en un principio aparecia aun antes de que te loguees
(12-03-2013 09:59)GaraPR escribió: [ -> ]
- Off-topic:
- Mi contraseña es: SeguraotchamAmarraotchamSeguraotchamtchamtchamtchamtcham69
Es insegura?
Si, es excesivamente insegura, en la medida que ellos no arreglen sus baches cualquier cosa que le pongas va a ser insegura.
Por sobre todas las cosas, que su contraseña no sea igual a ninguna de sus otras contraseñas, mucho menos a datos como su mail, que son cosas que están cargadas en SIGA... Y que tampoco esté compuesta por sus datos personales.
bueno y entonces esto va aquedar en la nada?