mala practica de seguridad afp cuprum?

ricm

Se incorporó
28 Agosto 2005
Mensajes
7.590
Primero que todo decir que este es un texto de opinion y no de difamacion.

Hace poco inicie unos tramites con la afp cuprum y como obviamente las sucursales están cerradas lo inicie por internet.

Resulta que para todo el proceso obligatoriamente tienes que hablar por teléfono con los empleados de cuprum varias veces. Puse en negrita varias veces para que lo recuerden para mas adelante.

Durante las llamadas me pidieron hacer una “comprobación de identidad”, la cual no es gran cosa excepto por que la forma de hacerla es, por lo bajo, insegura.

Resulta que para hacerla me preguntan: ¿sabe su contraseña? y la verdad no me la se pq fue autogenerada por un autogenerador. Le comenté que me esperara (mientras iba al password manager en el PC) En mi cabeza saltaban las alarmas rojas y había más luces y banderas rojas que en un desfile comunista.

Eso no esta bien, no puedo dar mi contraseña al teléfono, es una estupidez, así que le dije que no podría darle mi contraseña. La empleada me comenta que es por seguridad, a lo que le digo: por eso mismo no puedo dártela.

Ella me responde, don ricm no me la tiene que decir toda, mire dígame el primer caracter.

Bueno pensaba, un caracter no es TAN peligroso, y efectivamente lo dije pensando que eso era todo, total pensaba que es bastante difícil adivinar eso y después me preguntarían alguna tontera como mi ciudad.

Resulta que después tienen la desfachatez de pedirme el segundo carácter y el tercero… cachan para donde va la cosa no?

Mi respuesta fue entonces, pucha pero no te puedo dar la contraseña. Es peligroso.

Ella media enojada dice que así es el sistema bla bla, y entre la conversa me dice que necesita 4 caracteres de mis 8 caracteres, es decir tengo que recitarle la mitad de la contraseña. En mi caso me toco según ella al azar dar la primera, segunda, tercera y séptima.

Acá hay varios problemas. El primero y mas obvio es que están dando efectivamente la mitad de tu contraseña, ahora solo la mitad es desconocida, por lo que un ataque de fuerza bruta sobre solo 4 caracteres es trivial? Cuan trivial? Vea el siguiente grafico.
Time_it_takes_to_crack_a_password.jpg


El segundo problema viene por que como mencionaba tienes que verificar identidad varias veces si llamas varias veces, y los caracteres son al azar, así que la próxima vez que llame me podría tocar que diga el cuarto quinto sexto y octavo carácter. Con eso ya habría dicho toda mi contraseña.

No solo sabrán que caracteres hay sino también el orden de los mismos.

Y Acá viene la parte interesante y que me gustaría la opinión de @unreal4u o de alguien experto.

Verificar caracteres individuales no se puede contra un hash de un password completo, es decir tengo la sospecha que almacenan el password en texto plano para poder comprobar las letras individuales.
Por ejemplo un hash de la letra a en es 0cc175b9c0f1b6a831c399e269772661
y el hash de a_password_largo en es f430c5f1f388016ab6b9cff23de04aac

Es decir letras o caracteres individuales no se pueden verificar versus un hash seguro hasta donde yo se, y la letra a es indistinguible dentro del string. Para ellos comprobar individualmente si o si deberian estar almacenadas con menos seguridad, sino plano.
Que opinan?

Ademas comentar que ni te pescan al telefono cuando trate de comentarles el problema.
 
Última modificación:

nibal2

pajarón nuevo
MOD
Se incorporó
15 Junio 2007
Mensajes
2.898
Me da la impresión de que:
- No pueden comprobar cada uno de los caracteres, y su comprobación de seguridad es un tongo.
- O no tienen la password cifrada, lo que es una falla de seguridad por si sola. Peor aún si te piden 4 de 8 caracteres, ya que es necesario que se pongan de acuerdo algunos ejecutivos para obtener contraseñas de manera fácil.

Pero, no sé bien que tipo de trámites se pueden realizar de este modo, imagino que no son trámites que manejen datos tan críticos, de otra forma son bien como las w***.
 

ricm

Se incorporó
28 Agosto 2005
Mensajes
7.590
Me da la impresión de que:
- No pueden comprobar cada uno de los caracteres, y su comprobación de seguridad es un tongo.
- O no tienen la password cifrada, lo que es una falla de seguridad por si sola. Peor aún si te piden 4 de 8 caracteres, ya que es necesario que se pongan de acuerdo algunos ejecutivos para obtener contraseñas de manera fácil.

Pero, no sé bien que tipo de trámites se pueden realizar de este modo, imagino que no son trámites que manejen datos tan críticos, de otra forma son bien como las w***.
Supongo que en algun punto hay que especificar en que cuenta corriente depositar tu pension. Ahi podria ser un tema peligroso.
 

unreal4u

I solve problems.
Miembro del Equipo
ADMIN
Se incorporó
2 Octubre 2005
Mensajes
13.603
Más rato veo el detalle, pero tb es posible que almacenen esos 4 caracteres en forma no cifrado, mientras que el resto sí lo sea.

Creo que soy siendo demasiado optimista pero es una posibilidad.

Una forma de descartar esto es ver si te pueden enviar la clave de alguna forma vía correo: ya sea a través del formulario "se me olvidó la contraseña" o quizás otra opción en el sistema.

Si te pueden enviar la contraseña significa que la guardan sin cifrado de por medio.

Saludos.
 

ayn

MOD
Miembro del Equipo
MOD
Se incorporó
2 Noviembre 2005
Mensajes
5.255
Generalmente cuando tengo que dar contraseñas me ponen con una maquina donde "apreto" los números en el teléfono, nunca a un ejecutivo.

Solo doy asi la de la alarma, que me la pide el mismo ejecutivo y entera, pero en ese caso la idea es justamente que sepan mi contraseña de seguridad para informar que todo esta bien.
 

carlhosan

Pro
Se incorporó
5 Agosto 2004
Mensajes
547
No hay mucho que agregar. Parece que faltaron palitos para ese puente.
Aunque tangan un sistema implementado por indios marcianos que llegan en delorean, las llamadas + el random matan cualquier cosa.

Si todavía siguen las estafas por SIM swapping, que queda para el resto.
 

unreal4u

I solve problems.
Miembro del Equipo
ADMIN
Se incorporó
2 Octubre 2005
Mensajes
13.603
ah xuxa no había leído que te pedían 4 chars al azar... que no necesariamente son los primeros 4. Eso efectivamente me levanta una bandera roja y confirma que ellos almacenan la contraseña sin cifrar. Creo eso si que el sistema no le deja a los empleados ver más allá de lo que les pide el sistema, pero el admin tiene acceso a todas las contraseñas.

No puedes tener una contraseña de más de 8 carácteres? Eso me parece super grave tb. Yo por lo general genero todas mis contraseñas con mínimo 30 caracteres random.

Saludos.
 

K3rnelpanic

non serviam
Miembro del Equipo
MOD
Se incorporó
1 Octubre 2007
Mensajes
6.065
Primero que todo decir que este es un texto de opinion y no de difamacion.

Hace poco inicie unos tramites con la afp cuprum y como obviamente las sucursales están cerradas lo inicie por internet.

Resulta que para todo el proceso obligatoriamente tienes que hablar por teléfono con los empleados de cuprum varias veces. Puse en negrita varias veces para que lo recuerden para mas adelante.

Durante las llamadas me pidieron hacer una “comprobación de identidad”, la cual no es gran cosa excepto por que la forma de hacerla es, por lo bajo, insegura.

Resulta que para hacerla me preguntan: ¿sabe su contraseña? y la verdad no me la se pq fue autogenerada por un autogenerador. Le comenté que me esperara (mientras iba al password manager en el PC) En mi cabeza saltaban las alarmas rojas y había más luces y banderas rojas que en un desfile comunista.

Eso no esta bien, no puedo dar mi contraseña al teléfono, es una estupidez, así que le dije que no podría darle mi contraseña. La empleada me comenta que es por seguridad, a lo que le digo: por eso mismo no puedo dártela.

Ella me responde, don ricm no me la tiene que decir toda, mire dígame el primer caracter.

Bueno pensaba, un caracter no es TAN peligroso, y efectivamente lo dije pensando que eso era todo, total pensaba que es bastante difícil adivinar eso y después me preguntarían alguna tontera como mi ciudad.

Resulta que después tienen la desfachatez de pedirme el segundo carácter y el tercero… cachan para donde va la cosa no?

Mi respuesta fue entonces, pucha pero no te puedo dar la contraseña. Es peligroso.

Ella media enojada dice que así es el sistema bla bla, y entre la conversa me dice que necesita 4 caracteres de mis 8 caracteres, es decir tengo que recitarle la mitad de la contraseña. En mi caso me toco según ella al azar dar la primera, segunda, tercera y séptima.

Acá hay varios problemas. El primero y mas obvio es que están dando efectivamente la mitad de tu contraseña, ahora solo la mitad es desconocida, por lo que un ataque de fuerza bruta sobre solo 4 caracteres es trivial? Cuan trivial? Vea el siguiente grafico.
Ver adjunto 13742

El segundo problema viene por que como mencionaba tienes que verificar identidad varias veces si llamas varias veces, y los caracteres son al azar, así que la próxima vez que llame me podría tocar que diga el cuarto quinto sexto y octavo carácter. Con eso ya habría dicho toda mi contraseña.

No solo sabrán que caracteres hay sino también el orden de los mismos.

Y Acá viene la parte interesante y que me gustaría la opinión de @unreal4u o de alguien experto.

Verificar caracteres individuales no se puede contra un hash de un password completo, es decir tengo la sospecha que almacenan el password en texto plano para poder comprobar las letras individuales.
Por ejemplo un hash de la letra a en es 0cc175b9c0f1b6a831c399e269772661
y el hash de a_password_largo en es f430c5f1f388016ab6b9cff23de04aac

Es decir letras o caracteres individuales no se pueden verificar versus un hash seguro hasta donde yo se, y la letra a es indistinguible dentro del string. Para ellos comprobar individualmente si o si deberian estar almacenadas con menos seguridad, sino plano.
Que opinan?

Ademas comentar que ni te pescan al telefono cuando trate de comentarles el problema.
Guardan la contraseña en texto plano D:
 

clusten

ADMIN
Miembro del Equipo
ADMIN
Se incorporó
1 Julio 2007
Mensajes
6.239
ah xuxa no había leído que te pedían 4 chars al azar... que no necesariamente son los primeros 4. Eso efectivamente me levanta una bandera roja y confirma que ellos almacenan la contraseña sin cifrar. Creo eso si que el sistema no le deja a los empleados ver más allá de lo que les pide el sistema, pero el admin tiene acceso a todas las contraseñas.

No puedes tener una contraseña de más de 8 carácteres? Eso me parece super grave tb. Yo por lo general genero todas mis contraseñas con mínimo 30 caracteres random.

Saludos.
algunas afp tienen 6 numeros como clave (otras son alfanumericos). Igual esa clave es para ver saldos, cualquier otra operación requiere una contraseña alfanumerica de más caracteres (la mia si no me equivoco es de 8, no se si fue por algun limite o lo que podía recordar)
 

Ariadno

Pajarito Viejo
Se incorporó
5 Diciembre 2008
Mensajes
681
Recuerdo cuando pertenecía al mejor banco del mundo mundial, al llamar saltaba una grabación que te pedía 2 caracteres de la clave y de ahí te saltaba a las opciones de auto atención :yao
 

Carlos E. Flores

Zombie
Miembro del Equipo
MOD
Se incorporó
17 Marzo 2005
Mensajes
28.527
No puedes tener una contraseña de más de 8 carácteres? Eso me parece super grave tb. Yo por lo general genero todas mis contraseñas con mínimo 30 caracteres random.

Cómo odio cuando hay que crear una contraseña y te limitan los caracteres o los símbolos. Me estropean todo el sistema de crear contraseñas que uso y deja todo más inseguro que el wifi de mi vecino.
 
Subir