sábado, abril 02, 2016

Inicia sesión y cambia la p@$$w0RD!.

En muchas plataformas, el sistema que se utiliza para recuperar una contraseña se basa en entregar una password temporal. No es la mejor opción, ya que un usuario puede decidir no cambiarla, y por eso las plataformas suelen evolucionar a que la siguiente vez que el usuario entre con esa contraseña se le fuerce a cambiarla o directamente enviar un OTP (One-Time Password) con un enlace que solo sirve una vez y que fuerza a cambiar la contraseña. Pero por desgracia todos los frameworks de Internet no llevan estas últimas configuraciones por defecto.

Figura 1: Inicia sesión y cambia la p@$$w0RD!.

Estos sistemas de enviar la contraseña directamente en el correo electrónico no son algo extraños, y ha sido, y es posible, encontrarlos en muchas plataformas que incluso tienen que ver con el mundo de la seguridad informática y el hacking. En el sistema de registro de Black Hat, durante muchos años, cuando se recuperaba una contraseña se generaba una por defecto y se enviaba.

Figura 2: Antiguamente, el CFP de BlackHat enviaba una nueva contraseña por e-mail

Ahora ya no es así, y se envía un OTP en un hipervínculo que obliga al usuario a cambiar la contraseña nada más acceder a él, con lo que el OTP deja de funcionar para el futuro.

Figura 3: El CFP de BlackHat envía ahora un OTP para resetear la password

Otras plataformas como Shodan también han usado el sistema de enviar la contraseña por correo electrónico y no se obligaba a cambiarla al usuario nada más acceder. Era responsabilidad del dueño de la cuenta cambiarla o no. Es decir, en todas esas plataformas se premiaba la usabilidad en detrimento de la seguridad.

Figura 4: Contraseña temporal de Shodan enviada por e-mail

Ahora, con la aparición del candado rojo en Gmail, donde se informa de cuando un mensaje de correo electrónico ha sido entregado a Gmail utilizando un canal inseguro sin cifrar, es fácil hacer entender a los usuarios la importancia de cambiar la contraseña.  

Figura 5: Contraseña temporal de EasyChair enviada por e-mail

Como se puede ver, este correo electrónico que enviaba una contraseña de EasyChair ha sido entregado por un canal inseguro sin cifrar, lo que quiere decir que cualquiera que tenga acceso al tráfico de red en cualquier tramo de la infraestructura de Internet que haya cruzado el mensaje, ha podido tener acceso a esa contraseña. Por lo tanto, lo lógico es que te tomes en serio la recomendación, utilices el sistema de correo electrónico que utilices, de "Inicia sesión y cambia la password" y luego aplica procesos de fortificación de cuenta y añade un segundo factor de autenticación.

Saludos Malignos!

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares