Constraseñas Inseguras

Página de MDN - Constraseñas Inseguras

El protocolo HTTPS está diseñado para proteger los datos del usuario de interferencias (violacion de confidencialidad) y de modificaciones (violacion de integridad) en la red. Los sitios Web que administran datos privados de usuarios deberían usar HTTPS para protegerlos de los hackers. Sin este protocolo, es bastante fácil robar información del usuario (como las credenciales de inicio de sesión). Esto fue demostrado por Firesheep.

Proporcionar formularios de incio de sesión inseguros es especialemente peligroso debido a la amplia variedad de ataques que pueden ser usados contra ellos. Los intrusos roban credenciales de usuario directamente por la red (sniffing), o modifican la página mostrada en tránsito para permitir una gran cantidad de ataques.

El panel de seguridad de la consola web de Firefox alerta a los desarrolladores si ellos muestran páginas que solicitan contraseñas, como formularios de ingreso, sobre una conexión insegura. Hay varios escenarios en los cuáles un desarrollador web puede fallar al proteger su experiencia de inicio de sesión:

1. Proporcionar un formulario de inicio de sesión a través de HTTP. Aún si la acción del formulario es una URL HTTPS, el formulario de inicio de sesión del usuario no está protegido porque un atacante puede modificar la pagina recibida por el usuario (por ejemplo, pueden insertar un script que registra las teclas presionadas (keylogging script) que extraiga sus claves, o pueden cambiar el destino del formulario para enviar los datos sensibles a un servidor que ellos controlen). Aquí está una captura de pantalla que muestra el problema con los correspondientes mensajes de advertencia mostrados en la lengüeta seguridad de la consola web:

2. Usando una URL HTTP en la acción del formulario. En este caso, cualquier informacion que el usuario ingresa es enviada a través de la red en formato de texto plano (sin cifrar). La contraseña del usuario es claramente visible para cualquiera que esté husmeando la red, desde el momento en que la contraseña deja el equipo del usuario hasta que llega a los servidores del sitio web. Aquí hay otra captura de pantalla que muestra el código html del formulario y el mensaje de advertencia correspondiente:

3. Proporcionar el formulario de inicio de sesión en un iframe HTTP (o un frame HTTPS que está incrustado en un frame HTTP). Incluso si la página superior es HTTPS, incluido el campo de la contraseña en un iframe HTTP es equivalente a incluirlo en una página HTTP. Los atacantes pueden modificar la página y robar las credenciales de usuario.

A veces, los sitios web requieren de un nombre de usuario y contraseñas, pero normalmente no almacenan datos que son muy sensibles. Por ejemplo, un sitio de noticias puede guardar qué artículos de noticias un usuario desea volver a leer, pero no guarda ningún otro dato sobre él. Los desarrolladores Web del sitio de noticias pueden estar menos motivados para asegurar su sitio web y sus credenciales de usuario. Desafortunadamente, la reutilización de contraseñas es un gran problema. Los usuarios utilizan la misma contraseña en varios sitios (sitios de noticias, redes sociales, proveedores de correo, bancos). Por lo tanto, incluso si el acceso al nombre de usuario y la contraseña a su sitio no le parece un gran riesgo, es un gran riesgo para los usuarios que han usado el mismo nombre de usuario y la misma contraseña para iniciar sesión en sus cuentas bancarias. Los atacantes son cada vez más astutos; roban tanto el nombre de usuario como la contraseña desde un sitio, y luego intentan usarlos en sitios más lucrativos.

Constraseñas Inseguras

Etiquetas y colaboradores del documento