tag:blogger.com,1999:blog-21555208.post6182088759846217316..comments2024-03-21T18:48:30.830+01:00Comments on Un informático en el lado del mal: Irony: Contraseñas robadas de los gestores de contraseñasChema Alonsohttp://www.blogger.com/profile/16328042715087424781noreply@blogger.comBlogger7125tag:blogger.com,1999:blog-21555208.post-50760554101317916922015-11-02T09:00:33.689+01:002015-11-02T09:00:33.689+01:00Cristian:
El esquema que sepalas se aplica en a l...Cristian:<br /><br />El esquema que sepalas se aplica en a los almacenes de las credenciales de los usuarios que acceden a ese sistema, como por ejemplo un banco o un servidor de correo. En estos casos no se necesita descifrar las credenciales, tan solo verificarlas.<br /><br />Los gestores de contraseñas son diferentes, porque se requiere poder extraer la contraseña de su almacen para introducirla en un formulario.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-68630953259412114262015-11-02T08:41:36.153+01:002015-11-02T08:41:36.153+01:00Yo uso los gestores no para usar contraseñas compl...Yo uso los gestores no para usar contraseñas complejas, sino para usar una contraseña diferente en cada servicio.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-22776101155970531122015-11-01T17:47:11.759+01:002015-11-01T17:47:11.759+01:00Ya no esta disponible el SCCAID para descargar?Ya no esta disponible el SCCAID para descargar?Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-20618808071658113562015-11-01T16:16:19.667+01:002015-11-01T16:16:19.667+01:00@Anónimo, tienes el texto de la entrada del artícu...@Anónimo, tienes el texto de la entrada del artículo original puesto en el post.Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-56210646910768673772015-11-01T15:57:10.313+01:002015-11-01T15:57:10.313+01:00Cristian, buenas. Eso funciona cuando vos sos el e...Cristian, buenas. Eso funciona cuando vos sos el estas programando el login. Pero para acceder a los servicios de 3ros como plantean los gestores de contraseñas, estos rellenan el campo usuario y contraseña en el navegador y tienen q escribir lo mismo q escribiría el usuario. No un hash. <br /><br />Para intentar dar un ejemplo, el hash se obtiene al aplicar una función al contenido del campo 'contraseña' y este tiene q conincidir con el que está guardado en facebook, (salvado todos los mecanismos y simplificando todo). Pero si en ese campo está el hash se aplica a funcion a ese hash y no va a conincidir con el q esta almacenado.Died74https://www.blogger.com/profile/13979151595374934547noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-16617167263713913092015-11-01T15:29:29.826+01:002015-11-01T15:29:29.826+01:00Creo que hay un error en este post. Leí el artícul...Creo que hay un error en este post. Leí el artículo original y en ningún sitio dice que las claves de 1Password se almacenen en texto plano. Lo que se almacena en texto plano son los metadatos, lo que también es bastante malo por cierto, En la página de 1Password explican por qué lo hacen así (cu sitio es de eficiencia) y cómo evitarlo: usar la sincronización con ICloud ya que esta utiliza un formato de bases de datos más nuevo y seguro. Desde luego tener los metadatos en texto plano es problema ya que le permite al atacante saber dónde debe destinar sus fuerzas, pero peor sería que la clave estuviera directamente sin cifrar. Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-29200242296746696752015-11-01T13:27:48.518+01:002015-11-01T13:27:48.518+01:00¿Seguro que es necesario mantener las claves en te...¿Seguro que es necesario mantener las claves en texto plano? Creía que la mayoría de sistemas se basarían en funciones de cifrado en una sola dirección y solo guardaban las claves cifradas. En el momento que hay que saber si la contraseña es correcta lo que habría que hacer es cifrar la contraseña introducida y comparar el cifrado de esta con la clave cifrada guardada en la base de datos. Si ambas coinciden entonces se da por buena. De esta manera no habría que guardar las claves sin cifrar.Cristiannoreply@blogger.com