Perpetrado el 06 de noviembre de 2013
Divagaciones, Internet, Seguridad
Y mira que no quiero seguir siendo especialmente cansino con esta moda de subirlo todo a la nube: TUS datos, TUS programas, TUS contraseñas, etc. pero es que no se puede confiar en ninguna empresa.
Viene al caso por por el caso -valga la redundancia- de Adobe: robo de información personal de casi 3 millones de clientes. Pero es aun peor.
Normalmente las contraseñas se deben almacenar en base de datos con una función, denominada hash, que es irreversible. Es decir, si el algoritmo de hash no está comprometido, saber el valor que hay en la base de datos no sirve absolutamente de nada. Alguien que tenga acceso a la base de datos nunca podrá saber tu contraseña.
Pues bien, gracias al excelente análisis de hispasec me entero de que Adobe, el gigante, no utiliza una técnica así en el almacenamiento de sus contraseñas. Una técnica que todo programador novato conoce o debería conocer. En su lugar almacenaba las contraseñas cifradas, lo que quiere decir que se pueden descifrar y por tanto quien tiene acceso a la base de datos tiene acceso a las contraseñas. Empeorado por el hecho de haber elegido un algoritmo de cifrado ya comprometido. Esto puede querer decir tres cosas:
- Los de Adobe son increiblemente inconscientes
- Los de Adobe son increiblemente estúpidos
- Los de Adobe quieren reservarse una manera de conocer en cualquier momento la contraseña de un cliente
¿seguimos confiando en las nubes o viene tormenta?
1 comentario