Danielside

informática softwarelibre divagaciones música

Nubarrones

Y mira que no quiero seguir siendo especialmente cansino con esta moda de subirlo todo a la nube: TUS datos, TUS programas, TUS contraseñas, etc. pero es que no se puede confiar en ninguna empresa.

Viene al caso por por el caso -valga la redundancia- de Adobe: robo de información personal de casi 3 millones de clientes. Pero es aun peor.

Normalmente las contraseñas se deben almacenar en base de datos con una función, denominada hash, que es irreversible. Es decir, si el algoritmo de hash no está comprometido, saber el valor que hay en la base de datos no sirve absolutamente de nada. Alguien que tenga acceso a la base de datos nunca podrá saber tu contraseña.

Pues bien, gracias al excelente análisis de hispasec me entero de que Adobe, el gigante, no utiliza una técnica así en el almacenamiento de sus contraseñas. Una técnica que todo programador novato conoce o debería conocer. En su lugar almacenaba las contraseñas cifradas, lo que quiere decir que se pueden descifrar y por tanto quien tiene acceso a la base de datos tiene acceso a las contraseñas. Empeorado por el hecho de haber elegido un algoritmo de cifrado ya comprometido. Esto puede querer decir tres cosas:

  • Los de Adobe son increiblemente inconscientes
  • Los de Adobe son increiblemente estúpidos
  • Los de Adobe quieren reservarse una manera de conocer en cualquier momento la contraseña de un cliente

¿seguimos confiando en las nubes o viene tormenta?


Archivado en categoría(s) Divagaciones, Internet, Seguridad

Enlace permanente


  • Kurace dice:

    A mi me da que quieren tener los datos para pasárselos a la NSA. Si no, ¿por qué no tienen datos mega-asegurados?

    Por una razón: si una empresa no permite que agencias de seguridad entren en sus sistemas, a papá EEUU les entraría un ataque de nervios porque no pueden entrar y controlar a sus ciudadanos. La seguridad no existe, pero tampoco la libertad…

    Ya sé que suena consparanoico, pero no me extrañaría nada…

    Un compañero mío decía además que a las empresas les pagan por hacer MAL su trabajo. ¿Politiqueo puro y duro? ¿O ganar más pasta para «arreglar el descuido»?

    Saludos.


  • Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.