Ir al contenido principal

Como son guardadas tus contraseñas en el Internet?

Los servidores que usan contraseñas como parte de su sistema para iniciar sesion, suelen recurrir a distintos metodos para guardar tus contraseñas. En este articulo veremos cuales son los mas comunes y seguros.





Contraseñas como archivo de texto

Este tipo de contraseñas son guardadas sin ningun tipo de seguridad. Es el metodo menos seguro de todos. En la base de datos de los usuarios o miembros del sitio, figuran sus nombres y sus contraseñas asociadas en formato leible por cualquier persona que abra la base de datos. Por ejemplo:


  • elchanguito23....................................................corazon23
  • mechi1987.........................................................arcoiris

Si alguna vez te olvidas tu contraseña y el sitio de Internet te la manda por correo electronico, es un claro indicio de que estan usando contraseñas como archivo de texto. Lo mejor es que NO USES ES WEBSITE!

En este caso no importa que tan compleja sea tu contraseña, pues cualquier con acceso a la base de datos puede leerla.

Contraseñas encriptadas

Un sistema de encriptacion transforma tu contraseña en una serie de numeros y letras sin sentido usando una 'llave de encriptacion' especial. Por ejemplo:

  • elchanguito23............... f1fFLGKBLAchMTEh1+F9evNxHA== ---->llave--->corazon23
  • mechi1987................... AV8gmpZGxio= --->llave--->arcoiris
La unica forma de saber cual es tu contraseña es teniendo acceso a la 'llave de encriptacion', la cual puede 'desencriptar' tu contraseña al formato 'leible'. Lamentablemente, esta llave de encriptacion generalmente esta guardada en el mismo servidor donde esta la base de datos de los usuarios.

La complejidad de la contraseña importaria poco tambien en este caso, en el hipotetico caso de que la base de datos del sitio haya sido comprometida por un ataque de un hacker.

Contraseñas hashed

Un hash es una funcion matematica que transforma tu contraseña en una serie alfanumerica sin sentido, al igual que la 'encriptacion', pero con una gran diferencia...

Un hash es un sistema de encriptacion de un solo sentido. Esto significa que tu contraseña NO se puede 'desencriptar' o transformarla nuevamente a su formato 'leible'. Por ejemplo:

  • elchanguito23.....................................ce0a1f743af78d201f7ffbf7983780981409129b
  • mechi1987....................5d6bad74e9ef310c8d95eeb72d857dcdda374b82

Por lo tanto, tu contraseña en si NO figura en la base de datos del servidor. Nadie con acceso a la base de datos del servidor podria 'deducir' tu contraseña. Es por este motivo que la mayoria de los  sitios de Internet de reputacion considerable JAMAS te mandarian tu contraseña por correo en caso que te la olvides, sino que te ofrecen la opcion de CAMBIARLA por una nueva. Pues ni siquiera ellos saben CUAL es tu contraseña!!!

Lo unico que el servidor hace es comparar el hash de la contraseña que escribes con el hash asociado con tu nombre de usuario en la base de datos de usuario del servidor. Sin coinciden, inicias sesion, si no, recibes un error de que la contraseña o el nombre de usuario es incorrecto.

Lamentablemente, existe, tecnicamente, una forma de obtener la contraseña a partir de su version 'hash'...

Usando lo que se conoce como 'Brute Force Attacks' y 'Rainbow Tables', un hacker podria usar su computadora para comparar el hash de tu contraseña contra cada uno de los trillones de hashes incluidos en dichos 'rainbow tables' hasta dar con el hash correcto de tu contraseña. Afortunadamente, eso toma TIEMPO. En la mayoria de los casos, DEMASIADO TIEMPO. Dependiendo de la 'longitud' y tipo de 'hash' (medido en 'bits'), crackear o hackear el hash de una contraseña podria tomar desde semanas a centurias, e incluso mas...




Contraseñas hashed con un poquito de 'sal'


Este tipo de contraseñas son de las mas seguras y comunes usadas actualmente. Basicamente se trata de contraseñas hashed (hasheadas) a las que se le 'agrega' una sequencia extra aleatoria de numeros y letras al principio o al final de la  contraseña que elegiste, ANTES de que el servidor la pase por una funcion 'hash'. A este tipo de sequencia alfanumerica extra se le conoce como 'salt', en ingles 'sal'. El uso de 'sales' aumenta exponencialmente la seguridad de nuestras contraseñas, volviendolas casi imposibles de hackear.






Por ultimo, aqui les dejo un interesante website que les dara una idea de cuanto tiempo se tardaria en 'hackear' una contraseña hasheada segun su complejidad y longitud:


https://passfault.appspot.com/password_strength.html#menu









Comentarios

Entradas más populares de este blog

Hoax de los Videos Pornograficos...

Hace tiempo que veo una publicacion siendo copiada una y otra vez por docenas de usuarios del Facebook. Dicha publicacion dice asi, en español:

ESTAN POSTEANDO VIDEOS PORNOGRÁFICOS INVISIBLES EN LOS PERFILES, SIN QUE TÚ LO SEPAS... EL DUEÑO DE LA CUENTA NO LOS VE, PERO LOS DEMÁS SÍ !!!... COMO SI FUERA UNA PUBLICACIÓN GENUINA QUE TÚ HICISTE !!!...HASTA POSTEAN UN SUPUESTO COMENTARIO TUYO... POR FAVOR, SI ACASO VES EN MI MURO O TE LLEGA MENSAJE PORNOGRAFICO DE MI PARTE, OMITELO...TU AMISTAD Y EL RESPETO HACIA TI VALE MUCHO!!!! COPIA/esto EN TU MURO..Este mensaje es nada mas ni nada menos que otro hoax mas. Si es cierto que hay enlaces a videos pornográficos en el Facebook y que cualquier aplicacion puede hacer publicaciones en TU nombre si tu la autorizaste, sin embargo, no hay ningun caso reportado que confirme que dichas publicaciones de videos porno son 'invisibles' para el dueño de la cuenta.


Personalmente creo que este hoax puede haber sido originado a raiz de este sc…

Codigos ASCII

ASCII (aski) significa American Standard Code for Information Interchange y se trata, a grandes rasgos, de un sistema de codificacion de caracteres. Esto es un sistema que le asigna a cada letra, numero, simbolo, etc un valor, usualmente numerico. Dicho valor es el que le indica a la computadora que caracter generar cuando presionas por ejemplo la tecla A.

Para escribir decenas de otros simbolos no presentes visualmente en los teclados, podemos usar la tecla ALT y el teclado numerico. Por ejemplo, para escribir la letra ñ en teclados americanos, debemos mantener la tecla ALT presionada y a la vez escribir 164 en el teclado numerico (el cual debe ser activado previamente, generalmente presionando la tecla de NumLock).

La siguiente es una lista con los codigos ASCII mas populares. Para usarla, presiona ALT y escribe el numero indicado usando el teclado numerico...
 ☺Smiley Blanco  ☻ Smiley Negro ♥ corazón Negro ♦ Diamante ♣ clavo (Clover / Puppyfeet) ♠ Spade • Negro puntos ◘  ○ círculo blanco ◙ c…

Aprobaciones de inicio de sesion para Facebook

Al igual que el sistema de Verificacion de doble paso de Google, Facebook tambien ofrece un sistema para iniciar sesion que aumenta radicalmente la seguridad de tu cuenta de Facebook. Basicamente se trata de recibir un codigo numerico unico al celular asociado con tu cuenta de Facebook e ingresar ese codigo para poder iniciar sesion en un dispositivo desconocido. Aunque coloques la contraseña correcta, si el sistema de 'aprobaciones de inicio de sesion' esta activado, no podras ingresar a tu cuenta de Facebook al menos que ingreses el codigo unico que sera enviado inmediatamente a tu celular.

Dicho codigo unico genera una cookie que Facebook usara para poder 'reconocer' tu computadora (o navegador) la proxima vez que quieras iniciar sesion desde ese mismo dispositivo, lo cual evitara que tengas que escribir un codigo nuevo cada vez que quieras iniciar sesion en Facebook.

Para activar el sistema de Aprobacion de inicio de sesion debes ir aqui:

https://www.facebook.com/s…