Por qué un sitio web no debería poder descifrar tu contraseña
Si un servicio puede descifrar contraseñas, eso es una señal de alerta. Los buenos sistemas de contraseñas normalmente no necesitan esta capacidad en absoluto.
Por qué la descifrabilidad es problemática
Una contraseña no es un documento que un servicio deba volver a leer más tarde. Para registrarse, todo lo que necesita hacer es comparar una derivación segura.
Si un proveedor puede recuperar la contraseña, siempre existe el riesgo de que los atacantes o los errores de configuración internos también se beneficien de ella.
Cómo reconocer sistemas problemáticos
- Un servicio puede enviarle su antigua contraseña en texto sin formato.
- El soporte o los procesos sugieren que se conoce la contraseña original.
- La documentación técnica habla de descifrado en lugar de hash seguro de contraseñas.
Qué deberían aprender los usuarios y operadores de esto
Los usuarios deben tener especial cuidado con este tipo de señales y nunca reutilizar contraseñas. Los operadores deben reemplazar constantemente el almacenamiento reversible.
En las evaluaciones de seguridad, esto es un fuerte indicio de debilidades arquitectónicas fundamentales.
Lista rápida
Las acciones más importantes de esta guía, resumidas.
- Nunca reutilice contraseñas en múltiples servicios, especialmente en sistemas cuestionables.
- Utilice almacenamiento de contraseñas irreversible durante el desarrollo.
- Tome en serio las señales de advertencia, como los recordatorios de texto sin formato o los procesos de soporte antiguos.
Preguntas frecuentes
Crea una contraseña fuerte ahora
Usa el generador de Zenkey.click para crear al instante una contraseña aleatoria fuerte o una frase de paso segura.