2012/01/03

Rede FON com Passwords em Risco


Para quem for paranóico com a segurança, certamente já saberá que não deve usar passwords repetidas em nenhum site ou serviço. Mas muitas vezes, há quem utilize técnicas que podem ser facilmente reveladas caso se descubra uma das suas passwords, como por exemplo usar o nome do site adicionado de números ou símbolos. E para quem se preocupa com a segurança das suas passwords, não há nada pior do que, quando se segue o processo do "esqueci-me da minha password" num site... receber um email com a password que introduzimos completamente visível para todo o mundo ver!

É algo que não se imagina qualquer site responsável a fazer hoje em dia... mas que o site FON faz, com os seus milhões de utilizadores!

Isto significa que:

1) Horror dos horrores - o serviço guarda a password em texto, tal e qual como foi introduzida, na sua base de dados; e permitindo a qualquer atacante o acesso imediato a milhões de passwords prontas a usar...

ou

2) Igualmente mau - o serviço guarda as passwords encriptadas, mas com capacidade de as desencriptar para obter as originais. Isto faz com que as passwords na base de dados parecessem lixo; mas logicamente, um hacker que consiga ter acesso à base de dados também facilmente conseguirá ter acesso ao script/algoritmo de desencriptação que é utilizado no módulo de recuperação de passwords que as envia por email para os clientes.


É por isso que muitos serviços, quando optam pela recuperação da password, vos enviam uma nova password aleatória. Já que a mesma está guardada de forma a não ser possível a sua recuperação (métodos conhecidos por hashing e salting), seja lá por que método for. É essa a única forma que se pode considerar minimamente segura para proteger as passwords dos utilizadores. E a única hipótese neste caso, para um atacante, é ir tentando ataques "brute force" ou  dicionários de passwords comuns, para tentar acertar na password correcta - e é nesta parte que entra o "salting", como factor adicional de protecção contra estas tentativas.


Aliás, esta é uma boa técnica para utilizarem sempre que tiverem que se registar num qualquer site novo: usar uma password aleatória temporária... e procederem ao pedido de recuperação de password. Se em vez de uma nova password aleatória vos for enviada a password original, sabem que estão perante um site que tem que levar nota negativa no capítulo da segurança.

E muito surpreendido fico por ver a FON ser um desses sites... Já lá fui mudar a minha password just in case...

5 comentários:

  1. Já foste mudar a do DealExtreme? :p

    ResponderEliminar
  2. Rúben Mendes3/1/12 16:09

    É por isso que misturo letras com números e vou modificando as minhas passwords de mês a mês, hoje em dia todo o cuidado é pouco neste mundo vasto que é a internet!

    ResponderEliminar
  3. Bem eu além das passwords do HomeBanking só me preocupo realmente pela password do Google. E essa já me dá algum trabalho quando mês a mês recebo o novo código ;)

    Não tou a ver minimamente como é que podia mudar as passwords regularmente de dezenas de sites e sei lá mais o que... Ou então durante cada mês reservava um dia ou dois só para isso :)

    ResponderEliminar
  4. Rúben Mendes3/1/12 17:53

    Bem eu consigo mudar de mês a mês graças as Probabilidades xD eu vou estudando os casos possíveis, mesmo que a palavra não faça sentido, e depois aponto num papel, não tenho cabeça para estar a memorizar as passwords :p

    ResponderEliminar
  5. Carlos e consegues mudar o email? Eu não!

    Nuno activei o 2 step auth na minha conta da Google e lastpass, fiquei MUITO mais descansado

    ResponderEliminar