domingo, 27 de noviembre de 2011

 

Tecnologia---cazando infieles

¿Puede un solo bit causar una catástrofe de pareja? Aparentemente, sí. Este pequeño pero absurdo problema de seguridad es típico de muchos servicios de Internet. Si quieres saber si alguien está registrado o no en un servicio web, basta que compruebes en la típica opción de Olvidé mi contraseña qué información te piden para recuperarla. Si se trata del correo electrónico –que hoy en día es lo más corriente– teclea cualquier cosa y comprueba la respuesta: si te confirma algo sobre si esa dirección está o no registrada en el servicio, he ahí un problema.
Esto viene a cuento de una anotación que vi pasar por FayerWayer sobre SecondLove, una «red social para infieles, para él y para ella». Se supone que la gente se registra en SecondLove para ponerle los cuernos a su pareja e imagino que «compartir ideas, trucos y recursos» al respecto con otros aventureros de lo prohibido.
Hasta ahí, todo bien. Eso sí: si sus parejas sospechan algo o simplemente quieren comprobar si están siendo corneadas oficialmente sólo tienen que ir a la página Recupera contraseña, teclear la dirección de correo de la otra persona como si la hubiera olvidado y esperar la respuesta. Si aparece «Todavía no eres un usuario registrado de Second love» se puede respirar tranquilo. Si, en cambio, responde que se acaba de enviar un correo… ¡Ooops! Cuidado al salir por la puerta, no te golpees con los cuernos contra el marco.
El problema de seguridad es que el servicio te está transmitiendo una información que no debería dar a un extraño: el dato sobre si una cuenta determinada existe o no. Es un solo bit, pero crítico. Dado que los correos electrónicos identifican personas únicas, puedes saber si una persona está ahí o no está ahí. De hecho, muchos hackers/crackers que se infiltran en ciertos servicios primero prueban con esta técnica qué cuentas existen para luego atacar con diccionarios y otras fórmulas todas las contraseñas posibles e intentar entrar en ellas.
¿Cómo proteger un servicio de este absurdo pero incómodo problema? La alternativa más simple y segura para quienes los desarrollan es simplemente no confirmar lo que haya sucedido en la operación, respondiendo –como hacen muchos– con un mensaje genérico del tipo: «Gracias. Si la dirección de correo que usted ha tecleado está registrada en este servicio, recibirá un correo en unos minutos…» Asunto resuelto.
En el caso que nos ocupa, parece razonable pensar que ante la evidente pertenencia a una «red social para infieles» la excusa de «sólo estaba mirando» no cuela.
El problema se alivia un poco suponiendo que la gente no es demasiado burra y usa un correo alternativo en vez de su cuenta personal o de empresa para registrarse en ciertos sitios (especialmente en una «red social para infieles») pero como bien sabemos no suele ser el caso.
Eso sí, como aviso de que ha sido cazado por la parienta recibirá horas antes un bonito correo diciendo «Estimado usuario, usted ha solicitado cambiar la contraseña. Pulse en este enlace para iniciar el proceso…» En ese caso, quien piense Mmmm… ¡pero si yo no he pedido cambiar nada…! puede darse por cazado.


copiado de ---ACA

Etiquetas: ,


# entrada de Bacterius Argentum ( Adryán) @ domingo, noviembre 27, 2011
Comentarios: Publicar un comentario

Suscribirse a Enviar comentarios [Atom]





<< Inicio

This page is powered by Blogger. Isn't yours?

Suscribirse a Entradas [Atom]