Respuestas
mar. 08, 2007 - 07:22
Hola,
respecto a tu pregunta sobre si se almacenan las contraseñas (erróneas o no) depende de cómo esté la programación del sitio. Es decir, posiblemente la contraseña no como tal (ya que se le hace un tratamiento de cifrado y se compara con ese mismo tratamiento a la contraseña del usuario).
Entonces, como decía, se puede almacenar al menos ese proceso a la contraseña que el usuario envia con propósitos de análisis forense, o trazabilidad. Sin embargo en la gran mayoría de sitios esos datos se desechan.
Por la pregunta que haces, me permito pensar mal (no de ti, sino del acto), y supongo que se puede hacer un ataque de tipo diccionario o fuerza bruta contra el servidor. Al margen de que almacene o no esas contraseñas erróneas, puede suceder que si el sitio está bien programado el acceso esté bloqueado un tiempo (5 minutos quizás) al detectar cierto número de entradas de clave erróneas, quizás 3, 5 o 7. Depende de cómo lo hayan programado. Asi que cuidadín. Fallar tanto en una clave sólo puede significar una cosa, que no la tienes. Y si no la tienes significa que no eres quien dices ser, por lo tanto no estás autorizado. Repito, cuidado.
Espero que te haya servido de algo. Un saludo.
respecto a tu pregunta sobre si se almacenan las contraseñas (erróneas o no) depende de cómo esté la programación del sitio. Es decir, posiblemente la contraseña no como tal (ya que se le hace un tratamiento de cifrado y se compara con ese mismo tratamiento a la contraseña del usuario).
Entonces, como decía, se puede almacenar al menos ese proceso a la contraseña que el usuario envia con propósitos de análisis forense, o trazabilidad. Sin embargo en la gran mayoría de sitios esos datos se desechan.
Por la pregunta que haces, me permito pensar mal (no de ti, sino del acto), y supongo que se puede hacer un ataque de tipo diccionario o fuerza bruta contra el servidor. Al margen de que almacene o no esas contraseñas erróneas, puede suceder que si el sitio está bien programado el acceso esté bloqueado un tiempo (5 minutos quizás) al detectar cierto número de entradas de clave erróneas, quizás 3, 5 o 7. Depende de cómo lo hayan programado. Asi que cuidadín. Fallar tanto en una clave sólo puede significar una cosa, que no la tienes. Y si no la tienes significa que no eres quien dices ser, por lo tanto no estás autorizado. Repito, cuidado.
Espero que te haya servido de algo. Un saludo.
mar. 08, 2007 - 08:02
No lo digo por esto de adivinar contraseñas, sino por el caso en que tengas muchas contraseñas y erróneamente introdizcas la contraseña de gmail en el servidor de otro servicio web; si se almacenan en éste último, entonces potencialmente estás dejando a disposición de alguien, por error, tu contraseña, estás poniéndola a disposición de alguien que no debería tenerla.
Saludos,
Héctor
http://noticiero.zoomblog.com
Saludos,
Héctor
http://noticiero.zoomblog.com
mar. 08, 2007 - 23:05
En ese caso, lo mejor es que te instales un gestor de contraseñas que es capaz de utilizar las contraseñas adecuadas según el sitio que estás visitando. Los hay incluso portables, que se pueden llevar en cualquier memoria portable usb.
Firefox tiene un gestor de contraseñas incorporado que puedes probar.
Un saludo.
Firefox tiene un gestor de contraseñas incorporado que puedes probar.
Un saludo.
mar. 09, 2007 - 06:15
Sabía de la existencia del gestor de contraseñas pero por medida de seguridad (contra hackers y pese a los cortafuegos) trataba de almacenarlas en mi mente y en el correo electrónico. Tengo un método para variar las contraseñas, para memorizarlas y para variarlas, pero si por error existe la posibilidad de que las deje almacendasa en servidores extraños, quizás deba re-evaluar mi criterio y usar el gestor de contraseñas de Firefox o uno en un pendrive o usar uno de estos nuevos servicios en línea que te dan contraseñas maestras; quizás el mejor método es el del pendrive; quizás al escribirlas a cada rato hay más probabilidades de que un keylogger actúe a que la contraseña sea encontrada en el gestor; quizás las contraseñas en Firefox se encripten; creo que hay gestores que hacen eso, debo investigar. Has sido muy amable; si tienes más comentarios serán bienvenidos.
Saludos,
Héctor
http://noticiero.zoomblog.com
Saludos,
Héctor
http://noticiero.zoomblog.com
mar. 09, 2007 - 08:01
Te he asignado los puntos, pese a ello quisiera me aclarases si además de la contraseña puede almacenarse el texto que, habiendo sido escrito en el campo "contraseña" o "password" no sea contraseña. Supongo que tu respuesta deberé aplicarla al caso de las Id´s.
mar. 12, 2007 - 00:45
Hola de nuevo. Como dices, todo texto que ingresas en un campo de texto y que SE ENVIA al servidor es tan susceptible de ser almacenado como las claves. De hecho muchos de ellos se guardan, como tus datos en esta web cuando rellenaste el formulario de alta.
Extrapolando y siendo generalista, TODO EL TRAFICO GENERADO PUEDE SER ALMACENADO. Existen múchas técnicas aún en el caso de que el que guarda la conversación entre extremos no pertenezca a la conversación. Eso entra dentro del campo de seguridad y es complejo y extenso.
Espero haber sido de ayuda.
Un saludo.
Extrapolando y siendo generalista, TODO EL TRAFICO GENERADO PUEDE SER ALMACENADO. Existen múchas técnicas aún en el caso de que el que guarda la conversación entre extremos no pertenezca a la conversación. Eso entra dentro del campo de seguridad y es complejo y extenso.
Espero haber sido de ayuda.
Un saludo.
mar. 12, 2007 - 09:03
Ahora si respondise específicamente lo que preguntaba, no me arrepiento de los puntos que te dí.
Muchas gracias,
Héctor
Muchas gracias,
Héctor
mar. 09, 2007 - 07:54
Posiblemente la contraseña se cifre y posiblemente se almacene, en la mayoría de los casos la contraseña, cifrada o no, se desecha.
mar. 12, 2007 - 09:06
Posiblemente la contraseña se cifre y posiblemente se almacene, en la mayoría de los casos la contraseña, cifrada o no, se desecha; los textos cualesquiera sean que se envíen una vez colocados en el campo de la contraseña o en el campo id pueden ser almacenados.
Añadir Nuevo Comentario