Estas aquiContenido / Dominios expirados, correos y contraseñas
Dominios expirados, correos y contraseñas
REEDICIÓN - Este artículo fue publicado en Kriptópolis el 15/6/2003
Por Bruce Schneier
Una característica muy común de los sitios web protegidos por contraseña es la posibilidad de solicitar que la contraseña le sea remitida a uno por correo electrónico. La idea es sencilla: la gente olvida sus contraseñas y necesita que se las recuerden.
Puede asumirse que la dirección de correo electrónico de la gente es segura, por lo que parece razonable enviarles sus contraseñas por esa vía (se podría argumentar sobre el riesgo de enviar las contraseñas sin cifrar, pero no es el fisgoneo el tipo de ataque que nos interesa ahora). Existe un inteligente modo de ataque que explota esta funcionalidad...
Paso 1: Comprar un dominio que ha expirado. Paso 2: Observar todo el spam que llega para averiguar qué cuentas mantenía activas el anterior titular del dominio. Paso3: Ir a un sitio web basado en la apertura de cuentas -eBay, Amazon, etc.- y pedir que la contraseña sea enviada a esas cuentas. Si la gente con esas cuentas no se molestó en cambiar sus direcciones de correo-e cuando expiró el dominio, se pueden recopilar sus contraseñas.
Alguien probó con un dominio expirado en cuentas de e-Bay y observó que -de haber querido- podría haberse hecho con unas cuantas contraseñas. Moraleja: cuando se desactiva una dirección de correo-e, todo lo que estaba asociado a esa dirección debería ser también desactivado.
(C) Bruce Schneier
lo que pasa es que a veces uno deja irresponsablemente su direccion de correo en tantos lugares que se hace dificil recordar cueles fueron... sobre todo cuando uno recien comienza en esto.
"Solo busco la verdad... si es que hay alguna...."
Me gustan las cosas simples, por eso volvi a Arch!
Linux User #404818