El 30% de los sitios guarda tu password en texto plano

http://www.readwriteweb.com/archives..._passwords.php

Leo esto y me dan ganas de crear algún sitio que haga un reporte de otros sitios web que están almacenando sus passwords en versión de solo texto.. No tiene que ser tan difícil identificarlos. Son todos aquellos que cuando le pedimos recuperar nuestro password nos mandan un email con el password exacto, así nada más..

¿Y qué te hace pensar que todos los sitios que no te envían directamente el password, sino que te lo hacen cambiar por uno nuevo mediante una serie de pasos supuestamente seguros, no almacenan tus datos sensibles sin ningún tipo de método criptográfico?

Yo he realizado muchos sitios utilizando texto plano y puedo demostraros cuando queraís con scripts completos que se puede hacer lo mismo desde usar mcrypt hasta md5 hasta multitud de algoritmos creados por uno mismo o guardarlas en base64 y descodificarlos despues o almacenar la clave real en un archivo cifrado con nombre en md5 o como dice Alzuwaga crear un nuevo reenvio de claves

Usar archivos planos como base de datos no deja de ser como usar en muchos casos archivos o bases de datos en XML , funcionan bien y son operativas además de rápidas y puedo poner muchos ejemplos de foros y scripts que las usan con un consumo mínimo de recursos , incluso se pueden comprimir en el server y guardar en formato gzip , y en mi caso he creado un sistema ale stilo de phpmyadmin con funciones para manejarlas con columnas y todo al estilo de mysql

Por todo ello la seguridad con este tipo de mases de datos es igual que la de cualquier otro sistema todo depende del programador y si es cierto las bases de datos se guardan en el servidor pero si la carpeta posee un nombre de 25 digitos cifrados a ver quien es el guapo que la adivina y si a eso le umas un .htaccess pues a ver si accedes también , posteriormente la seguridad integral depende de la programación

Esa es mi aportación , no todo es mysql y como digo puedo mostraros casos de foros con cientos de usuarios llegando a miles en su momento que eran solo y exclusivamente con flatfiles , csv , etc

Respecto a lo que indica cvander , te puedo nombrar numerosos scripts que hacen lo que dices y están escritos en php y usan como base de datos MySQL

Un saludo

fr1974, cuando en el artículo habla de "texto plano" no se refiere a "los soportes de almacenamiento" sino a la manera de almacenar los datos.

Entonces a que se refiere a que guardan en la base de datos las claves en formato numérico o de texto aunque sea mysql? , lo siento de verdad pero no lo entiendo , no se quizás esté espeso ; pero si el artículo que medio lo leí por encima defiende que porque se te mande un correo con tu clave original es porque la almacena así , es ridículo y te daba la razón , ahora que yo pense también que se refería al tipo de almacenamiento , obviamente si el artículo dice eso , me parece una ilógica obviamente como tu decias puede almacenar la clave encriptada y enviarla via email desencriptada

No se sinceramente que quiere demostrar el artículo al fin y al cabo si insertamos una inyección en sql es porque hay una falla de seguridad en el propio sistema y estarían todos los datos comprometidos y teniendo en cuenta que casi todo el mundo usa sistemas basados en md5 también hay procedimientos para saber las claves pero bueno ese es otro tema

Un saludo a todos

Yo no conozco ningún sitio SERIO que te mande la clave por correo en texto claro. Cuando una ha olvidado la clave, te mandan una clave temporal para entrar y volver a poner una clave nueva.

Sería una estupidez almacenar las claves cifradas para luego mandarlas por correo en formato legible. Si alguien hace eso, o bien no esta cifrando la clave en base de datos o bien no tiene ni idea de seguridad.

Saludos
Hooker