martes, diciembre 11, 2007

Correos en la Web (II de IV)

***************************************************************************************
- Correos en la Web (I de IV)
- Correos en la Web (II de IV)
- Correos en la Web (III de IV)
- Correos en la Web (IV de IV)
***************************************************************************************
Hola amigos,

vamos a ver si empezamos a jugar un ratito con estas cosas….

Sobre la recuperación de contraseñas

Los métodos para la recuperación de contraseñas en los sistemas son muy diversos. Uno de los que había que currarse en el reto de Boinas Negras, en el nivel 7, creo recordar, era bastante curioso, pues consistía en recibir un mail, con un link a una URL temporal dónde se mostraba la password. Esa URL era predecible porque se generaba en función del tiempo, y además, si se hacían dos peticiones con un espacio de tiempo muy corto se solapaban las URLs. Mucha gente se pasó esa fase, sincronizando peticiones con cron y netcat (yo lo hice con netcat y at, ya sabéis…), pero un alumno en un curso lo hizo simplemente haciendo clic “muy rápido” en dos ventanas abiertas a la vez (cosas veredes).

Recuperación por mail

El método más usado es enviar un mail a una cuenta de correo asociado, este sistema está bien, pero tiene el fallo de dejar toda la seguridad en la cuenta asociada. Dentro de las opciones que existen se encuentran:

- Enviar la contraseña por mail a la dirección de correo asociado: Tiene el problema de delegar la seguridad de la cuenta en la seguridad de la cuenta asociada y además, en el caso de ser vulnerada la seguridad de la cuenta, la víctima no se enterará fácilmente de que le están robando los correos al no haberse producido ningún cambio de password.

- Enviar un link para resetear la contraseña: Este es el método más utilizado por la mayoría de los sistemas mayoritarios (Gmail y Hotmail lo usan) pero creo que aún se puede mejorar un poco sin que suponga un gran coste. En este caso la seguridad de la cuenta principal depende íntegramente también de la seguridad de la cuenta asociada. Si la asociada es vulnerada, la principal también. Al cambiarse la password de la víctima esta se da cuenta “obligatoriamente” de que algo pasa con su credencial y puede comenzar un proceso propio de recuperación de contraseñas.

- Como tercera opción, implementada por bastantes sistemas de correo, se utiliza un Sistema Combinado. En él se envía un para resetear la contraseña a la cuenta de correo asociado sólo si se responde correctamente a una pregunta. Esta pregunta puede ser una pregunta secreta, algún dato interno, etc… Es un nivel más de seguridad puesto que si la seguridad de la cuenta asociada ha sido vulnerada, aún tiene que conseguir saltarse la fase de la cuenta principal.

Recuperación por Pregunta

Otra forma de recuperar la contraseña es mediante la respuesta a una pregunta secreta. El método es sencillo, cuando se configura la cuenta se pone una pregunta y una respuesta. Se supone que sólo el dueño de la cuenta en el sistema conoce la respuesta. Esto, es cierto, si alguien pregunta cosas lo suficientemente “intimas” o con tan poco sentido para nadie, que sea imposible adivinarlo, pero… si la pregunta es como la que ha puesto nuestra amiga “Susana” puede suceder que alguien más la conozca.

La hermana de Susana se llama...

Algunos sistemas de recuperación de contraseña por pregunta se olvidan de proteger este sistema frente a ataques de fuerza bruta y no controlan el número de peticiones posibles. Me ha gustado el sistema de Terra en esta parte dónde, cuando te equivocas dos veces en la respuesta de la contraseña, a la tercera configura un captcha, para dificultar el automatismo. Mola que sea a la tercera para que no moleste a los usuarios legítimos los primeros intentos. Además, en el caso de volver a equivocarse, reinicia la sesión y te echa de esta parte.

Tercer intento en Terra

Otros webmails, se olvidan de controlar esto, y, hay que tener en cuenta que una contraseña suele ser una cadena ilegible, o con poco sentido cuando es leída, pero sin embargo, una respuesta a una pregunta suele estar compuesta de una o varias palabras con sentido, es decir, que es fácilmente atacable por diccionario. A expertos en las herramientas de bruteforceo no les costaría mucho, en el caso anterior, crear un diccionario con nombres de chicas e intentar “adivinar” el nombre de la hermana de Susana.

Yo, después de sorprenderme con el diccionario creado por "mandingo" con los subtítulos de la serie para atacar el sistema de recuperación de contraseñas del Reto IV, creo que la pregunta secreta que he dejado en mi cuenta de El_maligno@hispavista.com ¿no?. Si alguien “adivina” mi respuesta, por favor, que me pase la password, que jugando, jugando, cambie la contraseña y no sé cual de mis cien actores preferidos he puesto. (snif…cuanta pena!).

Además, no suele exigirse ninguna coplejidad en la respuesta. En el caso de la cuenta que he perdido la password y la respuesta, antes de cambiar la password y la pregunta y la respuesta, tomé una captura con las opciones de configuración. Como véis, la longitud exigida es de tres caracteres y no se comprueba ninguna complejidad.

Configuración de respuesta

Además, hay algunos casos, como en el correo de hispavista que me he sacado, en los que cuando se responde correctamente a la pregunta secreta, la contraseña es mostrada por la web, con lo cual, el riesgo de que alguien te monitorice el correo es muy alto.

Bueno, hasta aquí por hoy, ya seguiremos…

Saludos malignos!

***************************************************************************************
- Correos en la Web (I de IV)
- Correos en la Web (II de IV)
- Correos en la Web (III de IV)
- Correos en la Web (IV de IV)
***************************************************************************************

13 comentarios:

Kano dijo...

Onobox, hace años, mostraba la pregunta secreta que habías escrito tu mismo para contestarte. Lo bueno es que en algun caso, en lugar de la pregunta secreta era la misma contestación (password).

Ejemplos:

Pregunta: asdfgh
Respuesta: asdfgh

Pregunta: como soy?
Respuesta: guapa

Pregunta: la respuesta es 5
Respuesta: cinco

Y, así hasta el infinito.

Tecnicoless dijo...

Yo una vez respondi a una pregunta secreta

Señor Don Enrique Dans dijo...

Yo no tengo pregunta secreta, ni si quiera captchas y mucho menos contraseña. A mi un login me reconoce por mi porte. Yo soy Edans.

Pluto dijo...

Hola Chema!! creo que ya vo vas a venir nunca más a la Rioja, como puedes ver en:

http://www.conocimientoytecnologia.org/prensa/2007/noviembre/16_comite_expertos/index.htm

el nivel informático de nuestra comunidad es muy alto. En el comité de expertos está Enrique Dans por lo que a partir de ahora y por orden del gobierno seremos mucho más altos, listos, guapos y no volveremos a ser amigos de Spectra.

pluto dijo...

Bueno de todas las maneras cuando te ví en el Evento de Hp en el Palacio de los deportes el kioskillo de Spectra no tenía demasiados clientes ;-)
Esto de partir el comentario es porque se me ha ido el dedo. (iba a ser una vista previa). Creo que ya me están abduciendo la agencia del conocimiento

Net dijo...

La respuesta secreta de mis cuentas es tal como qporiuañkbv.zs,ngiuohgqiugakn o algo así hasta que el cuadro de texto no acepta más carácteres.

Hay bastantes programas para guardar contraseñas gratuitos/libres que cifran las mismas con AES o similar con un contraseña.

Si, vale que si te enchufan un troyano o similar estas jodido, pero es que si están ya dentro que problema pueden tener en keyloggearte las claves.

palako dijo...

L'ennemi public nº 1, Su Majestad Minor, Promesas del Este, Ocean's Thirteen, Sin Control, Agentes Secretos, Ocean's Twelve, El Misterio de Wells, Blueberry. La experiencia Secreta, Irreversible, Lee mis labios, Oscura Seducción,...


Por cierto, a lo mejor en las partes III o IV de "Correos en la web" tienes pensado también hablar de sistemas de recordatorio de contraseñas con sorpresa :P

Maligno dijo...

@pluto, que depresión me ha dado.. dios. Sniff. Por cierto, ahora que me has recordado el evento de HP...¿sabes que casi me echan? jajaj. Fui como favor a un amigo y... me llevé mi portatil DELL, me compré la wifi y me puse a currar allí. Vino uno de los jefazos en España y me pidieron que quitara mi portatil del stand...

En fin.

Maligno dijo...

@net, es una buena solución, creo que es útil para las respuestas secretas.

@palako, jajaj, eres grande!!. ¿Fuerza Bruta o Diccionario?. Te olvidaste dos de las mejores Doberman y l'hainne. ¿Cuanto tiempo tardaste? ¿Le has enchufado XSS tb a la respuesta? jajaj ¡Máquina!

Pedro Laguna dijo...

Eso, tu pon mini-retos y luego enmarroname :P

¿Que pasa? ¿Entrenando para el viernes a ver que curso te inventas para tenerme ocupado? :P

Buen trabajo palak0 ;-)

Net dijo...

@pluto: Joder ente el Dans, el Pacote de la campus que (se dice, se comenta) se enchufa la pasta que recoge de las campus vía nasal y el Musicólogo de Arsys vais de PM.

Diox mio.

palako dijo...

Te lo cuento por mail como mini-solucionario, y así de paso ya tienes otra escusa (además de la del premio del mini-reto) para regalarme la peli de Dobermann!!!! Oh my god!! Llevo años buscandola, es la única peli que he intentado bajar de un p2p de estos y acabé con una versión doblada al italiano, así que mi experiencia p2p fue corta y frustrada. Ya que no era lo que quería por lo menos podía haber sido una porno. Me vale que me copies un DVD.

pluto dijo...

@maligno Por Dios Chema llevar un Dell a HP , es casi como ir con Windows Vista a un evento de Linux. Inconsciente!!! :-)
@net Ya ves como está la situación en La Rioja. Creo que voy a montarme una tienda de lencería para tener como única preocupación ver si les ajusta o no los sujetadores y la bragitas a las señoras. !que tristeza!

Eleven Paths Blog

Seguridad Apple

Entradas populares