miércoles, 10 de junio de 2015

Dropbox prohibe usar 85.000 palabras como contraseñas por ser inseguras



Para evitar que los usuarios elijan contraseñas débiles o fáciles de adivinar, Dropbox utiliza una extensa lista de palabras prohibidas. Esto ha sido descubierto por el investigador Jerod Brennen por la aplicación Dropbox app para móviles, al extraer a través del programa 7-Zip. Ambos archivos APK de Android y iOS IPA son realmente sólo archivos zip.


En la app hay un archivo llamado pw.html, desde lo que parecía ser 52 líneas de JavaScript.

El script tiene como objetivo evitar que los usuarios de Dropbox elijan contraseñas débiles cuando se crea una cuenta a través de la aplicación móvil. El script usa una línea con 85 100 palabras prohibidas que no pueden ser elegidas como contraseña.

Estas son son algunas de las palabras:
  • password
  • computer
  • QWERTY 
  • 123456
  • 696969
  • 111111

También es notable la gran cantidad de palabras obscenas que no deja ser seleccionadas como contraseña.

Según ha Brennen en la lista en línea ha puesto, los profesionales de seguridad pueden añadir la palabra a sus propias listas y herramientas.

Ejemplos:
  • password
  • 123456
  • 12345678
  • 1234
  • qwerty
  • 12345
Lista completa 85.100 palabras consideradas inseguras por DropBox:


Es increíble lo que se puede aprender sobre una aplicación móvil mediante una simple utilidad zip y un editor de texto.

Como alguien que ha pasado años trabajando en el espacio de seguridad de aplicaciones móviles, una de las dos herramientas favoritas de Windows son 7-zip y Notepad ++. ¿Por qué? Debido a que cada .ipa descargado desde iTunes y cada archivo .apk descargado desde Google Play es sólo un archivo comprimido zip con otro nombre.

Al descomprimir una de estas aplicaciones y comenzar a examinar el contenido con el editor de texto, puedes aprender mucho acerca de cómo la aplicación se ha hecho, incluyendo algunos de los trucos de seguridad utilizados por los desarrolladores.

Por ejemplo la aplicación Dropbox:

En el archivo zip Dropbox app /, encontrará una carpeta de activos con nombre. En la carpeta de activos, encontrarás una subcarpeta denominada js (¿JavaScript?), Y en esa carpeta encontrarás un solo archivo llamado pw.html.

Si has trabajado en infosec durante más de 3 minutos, esas dos letras (PW) deben dar lugar al instante una palabra en su mente: contraseña.

Si abre el archivo HTML, usted encontrará un elegante poco de JavaScript que es todo de 52 líneas largas. El propósito de ese guión? Para asegurarse de que los usuarios de Dropbox que están registrando sus cuentas desde dentro de la aplicación móvil de elegir una contraseña segura.


(En serio, quiero dar mi apoyo Dropbox para hacer cumplir este control. He usado aplicaciones móviles y web que permiten contraseñas de un solo carácter, que es un flagrante desprecio por la seguridad de los usuarios y de los datos que puedan almacenar en el app.)

Tengo el presentimiento de que Dropbox puede haber comenzado a prestar un poco más de atención a la aplicación de seguridad de la contraseña después de su incidente de seguridad 2014. Cualquiera sea la razón, me alegro de verlos hacerlo.

Lo de este pequeño archivo HTML que me fascina es que una línea de su guión contiene 85.100 palabras que sus usuarios de aplicaciones móviles están prohibidos desde la selección como una contraseña, incluso si estas palabras se reúnen los requisitos de complejidad de contraseña de Dropbox.

De todas las listas de palabras en todas las aplicaciones en todas las tiendas de aplicaciones en toda la palabra, esta lista aparece en el suyo.







No hay comentarios:

Publicar un comentario