Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Dropbox prohibe usar 85.000 palabras como contraseñas por ser inseguras




Para evitar que los usuarios elijan contraseñas débiles o fáciles de adivinar, Dropbox utiliza una extensa lista de palabras prohibidas. Esto ha sido descubierto por el investigador Jerod Brennen por la aplicación Dropbox  app para móviles, al extraer a través del programa 7-Zip. Ambos archivos APK de Android y iOS IPA son realmente sólo archivos zip.






En la app hay un archivo llamado pw.html, desde lo que parecía ser 52 líneas de JavaScript.

El script tiene como objetivo evitar que los usuarios de Dropbox elijan contraseñas débiles cuando se crea una cuenta a través de la aplicación móvil. El script usa una línea con 85 100 palabras prohibidas que no pueden ser elegidas como contraseña.

Estas son son algunas de las palabras:


  • password
  • computer
  • QWERTY 
  • 123456
  • 696969
  • 111111

También es notable la gran cantidad de palabras obscenas que no deja ser seleccionadas como contraseña.

Según ha Brennen en la lista en línea ha puesto, los profesionales de seguridad pueden añadir la palabra a sus propias listas y herramientas.

Ejemplos:

password
123456
12345678
1234
qwerty
12345
Lista completa 85.100 palabras consideradas inseguras por DropBox:

Es increíble lo que se puede aprender sobre una aplicación móvil mediante una simple utilidad zip y un editor de texto.

Como alguien que ha pasado años trabajando en el espacio de seguridad de aplicaciones móviles, una de las dos herramientas favoritas de Windows son 7-zip y Notepad ++. ¿Por qué? Debido a que  cada .ipa descargado desde iTunes y cada archivo .apk descargado desde Google Play es sólo un archivo comprimido zip con otro nombre.

Al descomprimir una de estas aplicaciones y comenzar a examinar el contenido con el editor de texto, puedes aprender mucho acerca de cómo la aplicación se ha hecho, incluyendo algunos de los trucos de seguridad utilizados por los desarrolladores.

Por ejemplo la aplicación Dropbox:

En el archivo zip Dropbox app /, encontrará una carpeta de activos con nombre. En la carpeta de activos, encontrarás una subcarpeta denominada js (¿JavaScript?), Y en esa carpeta encontrarás un solo archivo llamado pw.html.

Si has trabajado en infosec durante más de 3 minutos, esas dos letras (PW) deben dar lugar al instante una palabra en su mente: contraseña.

Si abre el archivo HTML, usted encontrará un elegante poco de JavaScript que es todo de 52 líneas largas. El propósito de ese guión? Para asegurarse de que los usuarios de Dropbox que están registrando sus cuentas desde dentro de la aplicación móvil de elegir una contraseña segura.


(En serio, quiero dar mi apoyo Dropbox para hacer cumplir este control. He usado aplicaciones móviles y web que permiten contraseñas de un solo carácter, que es un flagrante desprecio por la seguridad de los usuarios y de los datos que puedan almacenar en el app.)

Tengo el presentimiento de que Dropbox puede haber comenzado a prestar un poco más de atención a la aplicación de seguridad de la contraseña después de su incidente de seguridad 2014. Cualquiera sea la razón, me alegro de verlos hacerlo.

Lo de este pequeño archivo HTML que me fascina es que una línea de su guión contiene 85.100 palabras que sus usuarios de aplicaciones móviles están prohibidos desde la selección como una contraseña, incluso si estas palabras se reúnen los requisitos de complejidad de contraseña de Dropbox.

De todas las listas de palabras en todas las aplicaciones en todas las tiendas de aplicaciones en toda la palabra, esta lista aparece en el suyo.


Fuente:

1 comentarios :

Vanessa dijo...

considero que es excelente esta medida, de esta forma te ahorras uan gran cantidad de quejas por contraseñas perdidas y es que ahora puedes ir al dropbox descargar y buscar la versión comaptible para ti, y con una buena contarseña, no tendrás ningun problema.

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.