BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate
💭

Simyo te manda la clave del área de clientes en plano por email

License2Harm
1

Después de registrarte como cliente en Simyo te mandan en un correo electrónico la clave del área de cliente totalmente en abierto. Me he quedado de piedra.

Ya me ha dado por pensar si en pleno final de 2022 la siguen almacenando sin pasarla por alguna función de hash. Muy tranquilo no me he quedado.

PezDeRedes

Cámbiala y, a partir de ahí… fe ciega en lo que hagan. Teniendo en cuenta los paquetes que mete la AEPD no creo que la almacenen en texto plano, porque sería el colmo.

Este foro también te manda la clave al email en texto plano cuando te registras :/

🗨️ 16
License2Harm

Este foro también te manda la clave al email en texto plano cuando te registras :/

Que se apropien de mi cuenta de bandaancha me da igual. Que me roben una línea de teléfono no.

Imagino que lo harán bien, y que aunque la envíen estará "hasheada" y que no guardan la versión original, pero da bastante mal rollo.

🗨️ 15
Bramante

Imagino que lo harán bien, y que aunque la envíen estará "hasheada" y que no guardan la versión original

En mi opinión, la contraseña en claro, nunca debería llegar al backend. Se hashea en el navegador del cliente y para la base de datos.

🗨️ 12
PezDeRedes

Si te la envían al email, de una u otra forma al backend ha llegado. Aunque sea solo al servidor de SMTP para el envío del correo.

(Corríjanme si me equivoco, que los temas de web se me escapan aún un poco).

🗨️ 9
Bramante
🗨️ 7
Bramante
🗨️ 3
License2Harm
🗨️ 1
License2Harm
🗨️ 1
License2Harm

Pero para enviarte la clave en claro por email, aunque no es imprescindible que llegue al backend, es posible que sí ocurra (aunque sea temporalmente)

🗨️ 1
PezDeRedes

Solo lo decía como curiosidad, obviamente no es lo mismo.

Imagino que lo harán bien, y que aunque la envíen estará "hasheada" y que no guardan la versión original, pero da bastante mal rollo.

Por si acaso, yo la cambiaría.

Josh

Es un clave generada aleatoriamente que se envía en ese momento, se guarda su hash y ya no hay forma (práctica) de recuperarla.

pastor de becerros

Hay muchas empresas que te mandan asi la PRIMERA clave. Una vez que te logueas lo primero que te pide es que cambies tú la password. Si haces el proceso de darte de alta en el portal de una vez no hay peligro de seguridad porque esa clave dejará de ser valida en el mismo momento en que la cambies obligatoriamente en la aplicación

🗨️ 4
License2Harm

En este caso, esa clave no te obliga ni sugiere cambiarla aunque te identifiques bien terminado el registro. Se queda como definitiva salvo que la cambies tú

Estoy hablando de Simyo y no de lo que hacen otras empresas

🗨️ 2
pastor de becerros

Entonces cambiala inmediatamente

🗨️ 1
License2Harm

Eso haré, pero me pareció interesante comentarlo por aquí

Por cierto, el tono de mi mensaje anterior veo que me ha quedado un tanto seco. No lo interpretes así, ha sido el efecto secundario de la brevedad

Weikis336

MM despues de hacer el proceso de alta por teléfono me envió la clave así. Nada mas entrar lo que dices. Te pide cambiarla.

Metro Copito

Razón añadida para usar diferentes contraseñas para cada servicio. Eso de repartir los huevos en diferentes cestas, versión 2.0 🤓

🗨️ 6
PezDeRedes

Luego llegaron los gestores de contraseñas y al traste con la cesta: si te roban esa, te las han robado TODAS.

🗨️ 5
Metro Copito

Lo ideal es hacerse reglas mnemotécnicas y llevar un estilo de vida equilibrado y saludable. Para que no se olviden, entre otras cosas.

🗨️ 4
PezDeRedes

Con la memoria que tengo solo soy capaz de recordar contraseñas de mierda, no puedo recordar las 122 que tengo guardadas en Bitwarden. Mira si soy malo, que aún sigo cambiando la del propio Bitwarden para intentar hacer una decentemente segura y que no se me olvide.

🗨️ 2
Weikis336

Yo para las claves uso personajes de series juegos, intercalando letras y números siguiendo un patrón. Me quedan claves largas alfanuméricas y como tengo varios modelos si me sacan la que es para servicios chorras pues ok. Las bancarias usan otro proceso de generado de pass. Suena tonto pero si la casa no la compartes tener un bloc de notas por estupido que suene no es mala idea. Físico a no ser que vengan a tu casa difícil es. Lógicamente no metas las credenciales del banco pero si cosas como steam o discord.

License2Harm

A fin de cuentas ¿ qué ganan ? Se aseguran que la primera identificación no va a fallar, pero habiendo un sistema seguro para resetear la clave y que también puedes usar recién registrado, no le veo necesidad.

Además, tampoco creo que haya tanta gente que escriba mal dos veces la clave al registrarse.

Jezu7

Estando los rústicos y poderosos SMS, anda que…