Para evitar que los usuarios elijan contraseñas débiles o fáciles de
adivinar, Dropbox utiliza una extensa lista de palabras
prohibidas.
Esto ha sido descubierto por el investigador
Jerod Brennen por la aplicación
Dropbox App para móviles, al extraer la lista desde el archivo APK de Android e iOS IPA.
En dicha App hay un archivo llamado
pw.html, en la que aparecen 52 líneas de JavaScript con la lista de contraseñas
prohibidas.
El
script tiene como objetivo evitar que los usuarios de Dropbox
elijan
contraseñas débiles cuando se crea una cuenta a través de la
aplicación móvil. El
script usa una línea con 85.100 palabras
prohibidas que no pueden ser elegidas como contraseña. Estas son son algunas de las palabras:
password
123456
12345678
1234
qwerty
12345
dragon
pussy
baseball
...
La
lista completa se puede descargar en un archivo TXT.
Además de esta lista, Dropbox también utiliza
"zxcvbn" (un nombre que no dice mucho), un
proyecto Open Source para calcular la fortaleza de las contraseñas.
