- Se incorporó
- 28 Agosto 2005
- Mensajes
- 7.590
Primero que todo decir que este es un texto de opinion y no de difamacion.
Hace poco inicie unos tramites con la afp cuprum y como obviamente las sucursales están cerradas lo inicie por internet.
Resulta que para todo el proceso obligatoriamente tienes que hablar por teléfono con los empleados de cuprum varias veces. Puse en negrita varias veces para que lo recuerden para mas adelante.
Durante las llamadas me pidieron hacer una “comprobación de identidad”, la cual no es gran cosa excepto por que la forma de hacerla es, por lo bajo, insegura.
Resulta que para hacerla me preguntan: ¿sabe su contraseña? y la verdad no me la se pq fue autogenerada por un autogenerador. Le comenté que me esperara (mientras iba al password manager en el PC) En mi cabeza saltaban las alarmas rojas y había más luces y banderas rojas que en un desfile comunista.
Eso no esta bien, no puedo dar mi contraseña al teléfono, es una estupidez, así que le dije que no podría darle mi contraseña. La empleada me comenta que es por seguridad, a lo que le digo: por eso mismo no puedo dártela.
Ella me responde, don ricm no me la tiene que decir toda, mire dígame el primer caracter.
Bueno pensaba, un caracter no es TAN peligroso, y efectivamente lo dije pensando que eso era todo, total pensaba que es bastante difícil adivinar eso y después me preguntarían alguna tontera como mi ciudad.
Resulta que después tienen la desfachatez de pedirme el segundo carácter y el tercero… cachan para donde va la cosa no?
Mi respuesta fue entonces, pucha pero no te puedo dar la contraseña. Es peligroso.
Ella media enojada dice que así es el sistema bla bla, y entre la conversa me dice que necesita 4 caracteres de mis 8 caracteres, es decir tengo que recitarle la mitad de la contraseña. En mi caso me toco según ella al azar dar la primera, segunda, tercera y séptima.
Acá hay varios problemas. El primero y mas obvio es que están dando efectivamente la mitad de tu contraseña, ahora solo la mitad es desconocida, por lo que un ataque de fuerza bruta sobre solo 4 caracteres es trivial? Cuan trivial? Vea el siguiente grafico.
El segundo problema viene por que como mencionaba tienes que verificar identidad varias veces si llamas varias veces, y los caracteres son al azar, así que la próxima vez que llame me podría tocar que diga el cuarto quinto sexto y octavo carácter. Con eso ya habría dicho toda mi contraseña.
No solo sabrán que caracteres hay sino también el orden de los mismos.
Y Acá viene la parte interesante y que me gustaría la opinión de @unreal4u o de alguien experto.
Verificar caracteres individuales no se puede contra un hash de un password completo, es decir tengo la sospecha que almacenan el password en texto plano para poder comprobar las letras individuales.
Por ejemplo un hash de la letra a en es 0cc175b9c0f1b6a831c399e269772661
y el hash de a_password_largo en es f430c5f1f388016ab6b9cff23de04aac
Es decir letras o caracteres individuales no se pueden verificar versus un hash seguro hasta donde yo se, y la letra a es indistinguible dentro del string. Para ellos comprobar individualmente si o si deberian estar almacenadas con menos seguridad, sino plano.
Que opinan?
Ademas comentar que ni te pescan al telefono cuando trate de comentarles el problema.
Hace poco inicie unos tramites con la afp cuprum y como obviamente las sucursales están cerradas lo inicie por internet.
Resulta que para todo el proceso obligatoriamente tienes que hablar por teléfono con los empleados de cuprum varias veces. Puse en negrita varias veces para que lo recuerden para mas adelante.
Durante las llamadas me pidieron hacer una “comprobación de identidad”, la cual no es gran cosa excepto por que la forma de hacerla es, por lo bajo, insegura.
Resulta que para hacerla me preguntan: ¿sabe su contraseña? y la verdad no me la se pq fue autogenerada por un autogenerador. Le comenté que me esperara (mientras iba al password manager en el PC) En mi cabeza saltaban las alarmas rojas y había más luces y banderas rojas que en un desfile comunista.
Eso no esta bien, no puedo dar mi contraseña al teléfono, es una estupidez, así que le dije que no podría darle mi contraseña. La empleada me comenta que es por seguridad, a lo que le digo: por eso mismo no puedo dártela.
Ella me responde, don ricm no me la tiene que decir toda, mire dígame el primer caracter.
Bueno pensaba, un caracter no es TAN peligroso, y efectivamente lo dije pensando que eso era todo, total pensaba que es bastante difícil adivinar eso y después me preguntarían alguna tontera como mi ciudad.
Resulta que después tienen la desfachatez de pedirme el segundo carácter y el tercero… cachan para donde va la cosa no?
Mi respuesta fue entonces, pucha pero no te puedo dar la contraseña. Es peligroso.
Ella media enojada dice que así es el sistema bla bla, y entre la conversa me dice que necesita 4 caracteres de mis 8 caracteres, es decir tengo que recitarle la mitad de la contraseña. En mi caso me toco según ella al azar dar la primera, segunda, tercera y séptima.
Acá hay varios problemas. El primero y mas obvio es que están dando efectivamente la mitad de tu contraseña, ahora solo la mitad es desconocida, por lo que un ataque de fuerza bruta sobre solo 4 caracteres es trivial? Cuan trivial? Vea el siguiente grafico.
El segundo problema viene por que como mencionaba tienes que verificar identidad varias veces si llamas varias veces, y los caracteres son al azar, así que la próxima vez que llame me podría tocar que diga el cuarto quinto sexto y octavo carácter. Con eso ya habría dicho toda mi contraseña.
No solo sabrán que caracteres hay sino también el orden de los mismos.
Y Acá viene la parte interesante y que me gustaría la opinión de @unreal4u o de alguien experto.
Verificar caracteres individuales no se puede contra un hash de un password completo, es decir tengo la sospecha que almacenan el password en texto plano para poder comprobar las letras individuales.
Por ejemplo un hash de la letra a en es 0cc175b9c0f1b6a831c399e269772661
y el hash de a_password_largo en es f430c5f1f388016ab6b9cff23de04aac
Es decir letras o caracteres individuales no se pueden verificar versus un hash seguro hasta donde yo se, y la letra a es indistinguible dentro del string. Para ellos comprobar individualmente si o si deberian estar almacenadas con menos seguridad, sino plano.
Que opinan?
Ademas comentar que ni te pescan al telefono cuando trate de comentarles el problema.
Última modificación:
