edición general

Filtración de datos de Linkedin: 500 millones de cuentas vulneradas (2021)

#67 Eso de nadie... Probablemente en los más masivos y auditados sea así, pero muchos guardan en plano todavía.
#70 A mi se me ponen los pelos de punta cada vez que en un banco al cambiar la contraseña dicen (caso real): "La contraseña debe ser entre 5 y 8 caractéres compuesta por números y letras mayúsculas". Otros tienen limitaciones de 10-12 caracteres.

Si guardan sólo un hash no debería ser problema cualquier longitud o caractéres, así que siempre pienso que en algún momento lo están guardando en texto plano en un campo con VARCHAR(8) en la BBDD...
#83 Totalmente, además que el método 2FA que usan es un SMS, ampliamente conocido como inseguro, que entiendo mejor que nada si que es, pero ni siquiera dan la opción a usar un OTP. Lo que supongo si harán es tener un límite de intentos bastante bajo para compensar.
#83 esas cosas se comprueban antes de guardar la contraseña, como es lógico. No es ningún problema.

Lo chungo es cuando el banco te pide "escriba la tercera y quinta letras". Ahí sí que la tienen en plano.
#91 eso es lo lógico, pero ¿que sentido tienen esas limitaciones si antes de guardarlo se hashea?
Una vez aplicado el hash es indistinguible el tipo de caracteres usados, por no decir que obligarte a que tu clave sea ente 5 y 8 caracteres la deja muy muy vulnerable a ataques de fuerza bruta si se filtra el hash
#98 Es verdad que poner un límite máximo no tiene ningún sentido, no te había entendido esa parte. Huele a que algo están haciendo mal, sin duda.
#91 Resucito el hilo porque me acabo de acordar... :-)

Cuando pides en tu oficina el PIN de 4 dígitos de tu tarjeta porque te has olvidado... y te lo dan impreso, pero no uno nuevo, sino el mismo que pusiste tú al cambiar el que venía de serie.

Vamos, que al menos el PIN puedo garantizar que se almacena en plano. Más te vale usar PINes diferentes para cada tarjeta.

menéame