Varias empresas han admitido recientemente que almacenan contraseñas en formato de texto sin formato. Eso es como almacenar una contraseña en el Bloc de notas y guardarla como un archivo .txt. Las contraseñas deben tener sal y hash por seguridad, entonces, ¿por qué no está sucediendo eso en 2019?
Por qué las contraseñas no deben almacenarse en texto sin formato
Cuando una empresa almacena las contraseñas en texto plano, cualquier persona que tenga la base de datos de contraseñas, o cualquier otro archivo en el que estén almacenadas las contraseñas, puede leerlas. Si un pirata informático obtiene acceso al archivo, puede ver todas las contraseñas.
Almacenar contraseñas en texto sin formato es una práctica terrible. Las empresas deben utilizar la sal y el hash de contraseñas, que es otra forma de decir «agregar datos adicionales a la contraseña y luego codificar de una manera que no se pueda revertir». Por lo general, eso significa que incluso si alguien roba las contraseñas de una base de datos, no se pueden utilizar. Cuando inicia sesión, la empresa puede verificar que su contraseña coincida con la versión codificada almacenada, pero no pueden «trabajar hacia atrás» desde la base de datos y determinar su contraseña.
Entonces, ¿por qué las empresas almacenan contraseñas en texto plano? Desafortunadamente, a veces las empresas no se toman en serio la seguridad. O eligen comprometer la seguridad en nombre de la conveniencia. En otros casos, la empresa hace todo bien al almacenar su contraseña. Pero pueden agregar capacidades de registro excesivamente entusiastas, que registran las contraseñas en texto sin formato.
Varias empresas tienen contraseñas almacenadas incorrectamente
Es posible que ya se vea afectado por malas prácticas porque Robin Hood, Google, Facebook, GitHub, Twitter y otros almacenaron contraseñas en texto sin formato.
En el caso de Google, la empresa estaba procesando adecuadamente las contraseñas de la mayoría de los usuarios. Pero Contraseñas de cuentas de G Suite Enterprise se almacenaron en texto sin formato. La compañía dijo que esto era una práctica sobrante de cuando les dio a los administradores de dominio herramientas para recuperar contraseñas. Si Google hubiera almacenado correctamente las contraseñas, eso no habría sido posible. Solo un proceso de restablecimiento de contraseña funciona para la recuperación cuando las contraseñas se almacenan correctamente.
Cuando Facebook también admitido para almacenar contraseñas en texto sin formato, no proporciona la causa exacta del problema. Pero puede inferir el problema de una actualización posterior:
… descubrimos registros adicionales de contraseñas de Instagram que se almacenan en un formato legible.
A veces, una empresa hará todo bien al almacenar inicialmente su contraseña. Y luego agregue nuevas funciones que causen problemas. Además de Facebook, Robin Hood, Githuby Gorjeo contraseñas de texto sin formato registradas accidentalmente.
El registro es útil para encontrar problemas en aplicaciones, hardware e incluso en el código del sistema. Pero si una empresa no prueba esa capacidad de registro a fondo, puede causar más problemas de los que resuelve.
En el caso de Facebook y Robinhood, cuando los usuarios proporcionaban su nombre de usuario y contraseña para iniciar sesión, la función de registro podía ver y registrar los nombres de usuario y las contraseñas a medida que se escribían. Luego almacenó esos registros en otro lugar. Cualquiera que tuviera acceso a esos registros tenía todo lo necesario para hacerse cargo de una cuenta.
En raras ocasiones, una empresa como T-Mobile Australia puede ignorar la importancia de la seguridad, a veces en nombre de la conveniencia. en un intercambio de Twitter desde que se eliminó, un representante de T-Mobile le explicó a un usuario que la empresa almacena las contraseñas en texto sin formato. Almacenar las contraseñas de esa manera permitió a los representantes de servicio al cliente ver las primeras cuatro letras de una contraseña con fines de confirmación. Cuando otros usuarios de Twitter señalaron apropiadamente lo malo que sería si alguien