Después de registrarte como cliente en Simyo te mandan en un correo electrónico la clave del área de cliente totalmente en abierto. Me he quedado de piedra.
Ya me ha dado por pensar si en pleno final de 2022 la siguen almacenando sin pasarla por alguna función de hash. Muy tranquilo no me he quedado.
Cámbiala y, a partir de ahí… fe ciega en lo que hagan. Teniendo en cuenta los paquetes que mete la AEPD no creo que la almacenen en texto plano, porque sería el colmo.
Este foro también te manda la clave al email en texto plano cuando te registras :/
Este foro también te manda la clave al email en texto plano cuando te registras :/
Que se apropien de mi cuenta de bandaancha me da igual. Que me roben una línea de teléfono no.
Imagino que lo harán bien, y que aunque la envíen estará "hasheada" y que no guardan la versión original, pero da bastante mal rollo.
Imagino que lo harán bien, y que aunque la envíen estará "hasheada" y que no guardan la versión original
En mi opinión, la contraseña en claro, nunca debería llegar al backend. Se hashea en el navegador del cliente y para la base de datos.
Si te la envían al email, de una u otra forma al backend ha llegado. Aunque sea solo al servidor de SMTP para el envío del correo.
(Corríjanme si me equivoco, que los temas de web se me escapan aún un poco).
Pero para enviarte la clave en claro por email, aunque no es imprescindible que llegue al backend, es posible que sí ocurra (aunque sea temporalmente)
Solo lo decía como curiosidad, obviamente no es lo mismo.
Imagino que lo harán bien, y que aunque la envíen estará "hasheada" y que no guardan la versión original, pero da bastante mal rollo.
Por si acaso, yo la cambiaría.
Es un clave generada aleatoriamente que se envía en ese momento, se guarda su hash y ya no hay forma (práctica) de recuperarla.
Hay muchas empresas que te mandan asi la PRIMERA clave. Una vez que te logueas lo primero que te pide es que cambies tú la password. Si haces el proceso de darte de alta en el portal de una vez no hay peligro de seguridad porque esa clave dejará de ser valida en el mismo momento en que la cambies obligatoriamente en la aplicación
En este caso, esa clave no te obliga ni sugiere cambiarla aunque te identifiques bien terminado el registro. Se queda como definitiva salvo que la cambies tú
Estoy hablando de Simyo y no de lo que hacen otras empresas
Entonces cambiala inmediatamente
Eso haré, pero me pareció interesante comentarlo por aquí
Por cierto, el tono de mi mensaje anterior veo que me ha quedado un tanto seco. No lo interpretes así, ha sido el efecto secundario de la brevedad
MM despues de hacer el proceso de alta por teléfono me envió la clave así. Nada mas entrar lo que dices. Te pide cambiarla.
Razón añadida para usar diferentes contraseñas para cada servicio. Eso de repartir los huevos en diferentes cestas, versión 2.0 🤓
Luego llegaron los gestores de contraseñas y al traste con la cesta: si te roban esa, te las han robado TODAS.
Lo ideal es hacerse reglas mnemotécnicas y llevar un estilo de vida equilibrado y saludable. Para que no se olviden, entre otras cosas.
Con la memoria que tengo solo soy capaz de recordar contraseñas de mierda, no puedo recordar las 122 que tengo guardadas en Bitwarden. Mira si soy malo, que aún sigo cambiando la del propio Bitwarden para intentar hacer una decentemente segura y que no se me olvide.
Yo para las claves uso personajes de series juegos, intercalando letras y números siguiendo un patrón. Me quedan claves largas alfanuméricas y como tengo varios modelos si me sacan la que es para servicios chorras pues ok. Las bancarias usan otro proceso de generado de pass. Suena tonto pero si la casa no la compartes tener un bloc de notas por estupido que suene no es mala idea. Físico a no ser que vengan a tu casa difícil es. Lógicamente no metas las credenciales del banco pero si cosas como steam o discord.
A fin de cuentas ¿ qué ganan ? Se aseguran que la primera identificación no va a fallar, pero habiendo un sistema seguro para resetear la clave y que también puedes usar recién registrado, no le veo necesidad.
Además, tampoco creo que haya tanta gente que escriba mal dos veces la clave al registrarse.
Estando los rústicos y poderosos SMS, anda que…
