PortalInmobiliario.com es un sitio web que permite publicar, buscar y cotizar viviendas para arriendo o compra. Según ellos, son El punto de encuentro de la oferta y demanda inmobiliaria en Chile.
Como la mayoría de los sitios que tienen login y obligan a sus usuarios a registrarse para adquirir cierto tipo de información, el PortalInmobiliario tiene su propia cláusula de términos y condiciones. Ellos le llaman "Beneficios y Alcances", y en ella podemos ver la sección donde dice "Reserva y confidencialidad de datos":
La parte más importante es donde dice
Portalinmobiliario.com ha desarrollado tecnologías e invertido importantes recursos en mantener un alto estándar de seguridad de las bases de datos de propiedades y usuarios, pudiendo asegurar la mejor protección para ellos.
Especialmente la parte que marqué con negrita.
Lamentablemente para su alto estándar de seguridad y para los usuarios que creen en ellos, las claves/passwords de usuario se guardan en la base de datos sin cifrar, es decir, cualquier persona que acceda a la base de datos podrá conocer las passwords.
¿Cómo saberlo?
No es necesario ser un experto informático ni hacker para darse cuenta, es bastante sencillo.
Hace unos meses me registré en ese sitio y luego de no entrar por mucho tiempo se me olvidó mi contraseña, por lo que me fui a la opción "Recuperar Contraseña" y mi sorpresa fue cuando me llegó el correo con la información solicitada: Me enviaron la password en texto plano!
Obviamente, la única conclusión que puedo sacar es que no están cifrando o hasheando la password usando un algoritmo one-way. Hay 2 opciones, o la cifran usando uno que permite descifrado o bien directamente no la están cifrando, cualquiera sea el caso, no es seguro.
Es exactamente la respuesta que esperaba. Considere ponerla entre "las posibilidades" pero luego dije mejor no.
Realmente, quien usa una llave PGP (o algun metodo de llave publica/privada) para almacenar datos en una base de datos?
Bueno. El punto no es este, el punto es otro. Por qué ellos podrían leer tu clave? Las password deben cifrarse y hashearse con metodos de una sola via, es decir, que se puedan cifrar y no desciifrar, pues es una CONTRASE??A, no puede ser legible.
Que una contraseña sea legible, aunque esté cifrada con llaves publics/privadas, es una falla de seguridad. Si un atacante entra al sistema, es cosa de revisar el codigo de la aplicacion y saber donde está la llave para poder descifirarlo. Entonces, cual es la seguridad?
saludos
saludos
saludos
Acortado por si se rompe el link http://bit.ly/kw3aNx
Segundo, lo que dices respecto a las claves cifradas es verdad, si bien es posible que el texto este cifrado, no es seguro que sea así debido a que como dices, si un usuario mal intencionado logra dar con el código de descifrado o el algoritmo más la key, constituye una falla de seguridad muy grande solo si descuidan la seguridad de sus servidores, porque también como dice @Elinfame, si fuese un hash one-way con muchas colisiones o hubiese muchas bases de datos con hashes de este tipo (como ocurre con md5), constituye una brecha de seguridad posiblemente igual, que la de almacenarlas bajo texto cifrado.
Si lo analizas mejor, cifrada o no, de igual forma no es moral, porque si un fucking BOFH (espero que conozcas este termino xD) tiene acceso a estas contraseñas cifradas o no cifradas, puede contrarrestarlas con las contraseñas de nuestros correos electrónicos, y si da con alguna en la que sea igual, podría acceder a ellos; pero esto ya es una de las brechas más grandes de seguridad, una falla del BIOS (Bichito Ignorante Operando Sistema xD), es decir entre el ordenador y la silla/cama/mesa/watér/etc. xD