Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
182 lecturas y 20 respuestas
  • Ono Wifi y mail con la contraseña

    Señores de Ono, que sepan que es una CHAPUZA en temas de seguridad que no tengan la contraseña encriptada, porque si el mail de confirmación lo envían con la contraseña tal cual a pelo :-O Esto quiere decir que esa contraseña no está encriptada, con lo que cualquier hijo de vecino que tenga acceso al servidor donde tienen esos datos, tiene todas las contraseñas de los usuarios.

    Me parece gravísimo este tema...esto es propio de webs "chungas" para bajar películas, lo de enviar la contraseña sin encriptar...pero de un ISP no me lo esperaba.

    Este tema lleva más de 6 meses inactivo. Es recomendable que abras un nuevo tema para retomar la conversación.
    1
    • Hombre, lo que yo consideraría "normal" sería un sistema a lo…

      Hombre, lo que yo consideraría "normal" sería un sistema a lo Linux, es decir, que la contraseña la tengan cifrada y si alguna vez necesitas recuperarla que generen una nueva. Es cierto que si te la han enviado en claro es porque, si la cifran, lo hacen con un cifrado reversible, que para el tema de la seguridad... pues hombre, todo depende.

      Antes Fiesty, luego Gusty, después Hardy... no me extraña que la llamen la distro porno.

    • Vamos a ver, la contraseña en sus sistemas es mas que…

      Vamos a ver, la contraseña en sus sistemas es mas que probable que este cifrada, pero para enviártela por email te la tienen que enviar en formato legible, sino, ¿Como vas a introducirla en la aplicación o en la web?

      • A ver si nos entendemos...¿dime servicios que te envíen la…

        A ver si nos entendemos...¿dime servicios que te envíen la contraseña que has puesto al dar de alta el usuario?..y repito: no te envían una contraseña que han generado ellos, te envían la que tú has puesto al dar de alta el usuario.

        Llevo muchos años en la informática, y ninguno de los servicios que utilizo muestra las contraseñas de los usuarios, es un problema grave de seguridad, ya que mi clave no es privada. Si el sistema la envía es que la puede mostrar a cualquiera que tenga acceso al sistema. Ningún servicio...repito, ninguno te va a enviar nunca una contraseña a tu correo...como mucho en casos de pérdida de contraseña se generan unas aleatorias, que obligan a cambiar en un plazo de tiempo determinado, pero NUNCA te pueden enviar la contraseña que tú has puesto, por mail sin cifrar ni nada. Si hay algún experto en seguridad por aquí comprenderá la aberración de esto.

        Y os digo una cosa, nunca os fiéis de la seguridad de un sistema en la que tú pones una contraseña, y esta es posteriormente enviada "a pelo".

        • Llevarás muchos años en la informática, pero has usado pocos…

          Llevarás muchos años en la informática, pero has usado pocos servicios.

          De cabeza, ahora, no te sabría decir uno concreto (y menos cuando borro esos correos tras su llegada), pero eso lo he visto muchas veces. No una, ni dos. Bastantes.

          Además, ¿cómo pretendes que te lo cifren? ¿Les has dado tú una clave pública, por ejemplo la de tu DNIe, certificado digital de la FNMT, de otra CA, o, por qué no, de PGP/GPG?

          Que debería hacerse (con el DNIe o el cert. de la FNMT no sería un dilema), no te quito la razón. Pero hay dos problemas, la inexperiencia para la extracción de la clave pública y enviarla a quien la necesite (hay un problema adicional en el cert. de la FNMT al estar vinculado a una dirección de correo concreta); y que no exista un repositorio de claves públicas del DNIe o del cert. de la FNMT, lo cual es lógico dado el problema de privacidad que provocaría (los repositorios de PGP/GPG son un buen ejemplo de ello).

          Así que, por favor, dinos qué propones.

            • [Editado 5/02/14 15:54]

              ¿Pero no te estoy diciendo que los borro? Me vas a hacer…

              ¿Pero no te estoy diciendo que los borro?

              Me vas a hacer buscar a ver si tengo alguno guardado, que lo dudo, para convencerte. ¿Tan extraño te parece?

              Pero, no, por favor, respondeme a la pregunta que yo te he hecho, ¿qué propones?

              EDIT: hala ya tienes uno: Multimania (el antiguo Tripod); ¿estás a gusto ya?

                • Bueno, lo de la seriedad es subjetivo. Multimanía es el único…

                  Bueno, lo de la seriedad es subjetivo. Multimanía es el único que tengo a mano, y a mano es un decir, porque lo tenía cifrado en PGP/GPG.

                  Me he tomado la molestia en demostrartelo. No te parece bien, no es mi problema.

                  Tema cerrado. No le voy a dar más vueltas.

                  Propón un sistema mejor.

                    • Perdón por no haberte entendido así. Sólo he leído que te…

                      Perdón por no haberte entendido así. Sólo he leído que te molestaba que te la enviasen.

                      Mi pregunta era por proponer un sistema mejor de envío. Tu proposición es la ausencia del sistema de envío. Sencillamente nos hemos malinterpretado. Yo he ido por unos derroteros en mi planteamiento y tú por otro.

                      Lo tienes fácil, pideselo a Ono ;)

                      • Lo que digo en el primer mail es que si te envían la…

                        Lo que digo en el primer mail es que si te envían la contraseña que tú has puesto al dar de alta el usuario, malo...y punto. Si vas a estar trolleando continuamente, diciendo que un sistema que envía una contraseña "a pelo" por mail es seguro, me parece muy bonito que creas que es seguro...Y lo bueno es que la he cambiado, y me la ha enviado también... xDDDDDDDD

                        DE CHISTE la seguridad..pero si el foro manolito lo hace, y la web esa que has puesto tú también...seguridad demostrada entonces.

                        • A ver si este sitio te parece "serio". Cuando me ocurrió…

                          A ver si este sitio te parece "serio". Cuando me ocurrió pensé en esta conversación y aquí estoy.

                          En estos días tuve que registrar a alguien no muy diestro con el PC en el portal Adecco (va a una oficina y le dicen que tiene que darse de alta online... O_o (de donde no hay no se puede sacar, las oficinas deben de estar de adorno y si no saben de informática o no tienen PC, que se aguanten)). Ya sabes, la ETT.

                          Pues, bueno, estos envían un correo de confirmación de alta con el nombre de usuario y contraseña en texto claro en el mensaje de bienvenida.

                          ¿Es suficientemente serio este sitio para tí?

                          Serio o no, no lo sé, es subjetivo, al fin y al cabo, pero datos personales a cascoporro.

                        • No pongas palabras que no he dicho. Yo no pretendo trollear…

                          No pongas palabras que no he dicho.

                          Yo no pretendo trollear diciendo que el sistema de contraseña en texto claro sea el más seguro y mejor del mundo mundial. Decía que no es el único que lo hace*, respondiendote a lo que te decía que preguntabas.

                          Si quieres entenderlo de otra manera, piensa que soy conformista al respecto, me aguanto y cuando llega lo borro, hay sistemas así y no hay mucho que puedas hacer.

                          Si te la han enviado otra vez, pues lo mismo. Consuélate en que, entre las comunicaciones entre servidores SMTP, cada día es más común usar SSL/TLS, que lo puedes borrar cuando llegue, que has dado correctamente tu dirección para que no le llegue a otro, que tu dirección de correo no está comprometida, que tienes fe en el orden universal para que nada malo ocurra y que puedes bombardear a Ono hasta que lo cambien.

                          Eso, en mi opinión, no es trollear. Puedes aceptarla o no, pero es una opinión que bien puedes ignorar.

                          Eso es todo.

                          *No quería volver a este tema, pero respecto al foro manolito y Multimanía/Tripod, no son comparables. Aunque sea muy subjetivo, Multimanía/Tripod es un servicio de hosting que para unos puede ser muy importante por la página, o servicios, que hospeda y para otros no. En su momento, para mí, lo era (en su momento). Te parecerá trivial o un servicio poco serio como para importar el que enviasen la contraseña en texto claro, pero para los que no se podían/pueden permitir un dominio+hosting de pago (y no necesariamente más seguro), es lo que hay, o lo que había. ¿Es serio? totalmente subjetivo. ¿Te parece más o menos trivial con que te envíen la contraseña en texto claro de Ono Wifi?, pues, para cada uno, lo mismo. ¿Que no es el mejor sistema?, por supuesto. ¿Sería mejor que te la enviasen en texto claro al móvil en un SMS?, allá cada cual.

              • Primero, no me dices ningún servicio porque no existe, así de…

                Primero, no me dices ningún servicio porque no existe, así de claro...webs cutres que lo hagan hay mil, te pregunto por sitios donde se preocupan por su seguridad, no el "foro manolito". Ponme UN solo ejemplo, uno sólo...tú o quien quiera, que des de alta un usuario y una contraseña, y te envíe esa contraseña a pelo por mail.

                Lo que propongo es claro, es algo tan absurdo como que no se envíe...¿acaso me han de comunicar una clave que he puesto yo, lo hacen por algo?...¿confían poco en mi memoria?.

                Un mail con un link de confirmación es lo habitual, vamos, digo yo...para que no den de alta una cuenta con tus datos...es lo que hacen las empresas serias, las que hacen algo deprisa y corriendo hacen estas "cutradas".

                PD: No te olvides decirme qué servicio te envía la contraseña a pelo, por favor, que me interesa saberlo.

                • Ya te he dado un ejemplo arriba. Pero, añado a lo que dices…

                  Ya te he dado un ejemplo arriba.

                  Pero, añado a lo que dices de el link de confirmación. ¿Sabes qué empresas serias no confirman datos y te dan de alta?:

                  Skype, Facebook, Spotify, etc, etc, etc. De verdad, haz la prueba. Estos no te envían la contraseña en claro pero no confirman el alta.

                  • Onowifi no confirma ningún alta, y encima te pasa la clave al…

                    Onowifi no confirma ningún alta, y encima te pasa la clave al correo que has puesto...que si alguien tien tus datos, se puede dar de alta perfectamente...ni un sms te envía ni nada, que sería lo lógico. Suma y sigue.

      • Una contraseña se puede guardar encriptada. Un disco duro no,…

        Una contraseña se puede guardar encriptada. Un disco duro no, un disco duro se cifra.

        Lo digo aquí por si lee alguien de ono que tenga conocimientos de lo que digo...llamando al 1400 va a ser un absurdo, porque no van a saber lo que les digo...y me van a ofrecer una línea más de móvil antes de acabar la llamada.