Tu cuenta de Facebook tiene 3 passwords y tú no lo sabes

Entre los muchos correos electrónicos que recibo hay muchos de gente que me cuenta que ha descubierto alguna cosa que tiene que ver con seguridad, lo que me ayuda a estar un poco más al día de lo que está sucediendo en el mundo de la seguridad. De todos ellos, hay algunos que suelen ser erróneos o que directamente no han hecho las pruebas. Por eso, cuando los leo, procuro intentar discernir si lo que me cuentan tiene sentido o no. Hoy os voy a hablar de uno de esos que resultó ser un misterio sin resolver.

El misterio de las passwords sin cifrar de Facebook

Uno de esos correos llegó con un asunto que decía "Contraseñas sin cifrar en Facebook". Mi primera suposición era que me iba a preguntar algo referente al artículo que escribí sobre cómo conseguir que las credenciales de Facebook se capturen por la red sin cifrado, pero no, no era eso. Cuando seguí leyendo el mensaje, me decía que se había dado cuenta de que en su cuenta de Facebook podía entrar con la contraseña escrita en mayúsculas cuando su contraseña está escrita en minúsculas, lo que para él significaba que Facebook no hashea las passwords enMD5.

Lógicamente no me lo creí y le dije que era imposible. Tengo claro que Facebookguarda hashes de las contraseñas y por supuesto no va a ser en MD5. Ya usarán unSHA256 con algún Salt o similares. Conociendo a la gente de seguridad que hay detrás de Facebook no iba ni a perder un minuto de tiempo en comprobar algo así. Contesté que no podía ser, que algo estaría haciendo mal en sus pruebas. Lo que pasó por mi cabeza fue que seguramente tenía cacheada la sesión o la contraseña y por eso estaba teniendo acceso. Aún así, probé a escribir todas las letras de mi contraseña de Facebook primero todo en minúsculas y luego todo en mayúsculas y no funcionó, por lo que contesté que a mí no funcionaba

Sin embargo, insistió y me grabó un vídeo, por lo que después de un par de días decidí ver el vídeo y probarlo con otra cuenta que me cree desde cero y volvió a fallarme. Algo no iba bien y tenía que ser en su equipo. ¿Cómo va a funcionar una contraseña distinta cuando esto 100% seguro de que Facebook hace hashing de passwords? Y le contesté a David Guzmán - que así se llama mi interlocutor - que volví a probarlo con una password que tenía letras y números y no me funcionó.

La prueba que yo hice fue crearme una cuenta con una clave aAa777 (en el vídeo está mal) e intentar entrar con aaa777 y con AAA777 y no funcionó, por lo que le envié a David un correo diciéndolo que había intentado entrar como él me decía y no había tenido éxito. Quiso el corrector o el destino que al escribir la contraseña de la cuenta escribiera mal la password en el mensaje y pusiera la segunda "A" en minúscula, así David me hizo este vídeo donde se podía entrar y a mí me permitió resolver el misterio y encajar las piezas.

Figura 1: El vídeo de la cuenta de Facebook con múltiples passwords

La resolución al misterio de las múltiples passwords de Facebook

En el vídeo se puede ver que con una contraseña como aaa777 se puede entrar en el sistema usando también AAA777 y Aaa777, pero yo estaba seguro que con la password aAa77 no funcionaban ni aaa777 ni AAA777. Por supuesto, seguía teniendo claro que Facebook está haciendo hashing, así que... ¿qué podría estar pasando?

Tras probar todas las combinaciones me di cuenta de que las passwords que funcionan son dos:

1.- Passwords que se pueden escribir cuando tienes el Bloq+Mays activadas. Es decir, no es que pongas la contraseña todo en mayúsculas o todo en minúsculas, es que hagas una inversión de las letras. Es decir, si tu password es aBcDeF11 entonces también es tu password AbCdEf11. Esto quiere decir que al menos tienes doss passwords.

2.- Passwords que teniendo la primera letra en minúscula, se escribe en mayúscula. En muchos controles de tablets, cuando se pulsa sobre un campo para introducir un texto, por usabilidad se activa la tecla de Mays solo para la primera letra, lo que puede llevar a que si tu password comienza por una letra minúscula, como el ejemplo de aBcDeF11, entonces también te valga la password ABcDeF11.

Tras encajar todo, las cosas cobran sentido. Lo que Facebook hace es probar esas posibilidades, así que tu password de Facebook puede pasar de ser una a ser tres, solo porque las opciones de usabilidad han ganado una vez más la batalla a la seguridad. De esta forma se reducen problemas de soporte con los usuarios que tienen el modo de mayúsculas activado sin querer o que usan una conexión desde un control que pone la primera letra en mayúsculas de forma automática.

Actualización: Facebook reconoce este hecho y explica que este es uno de los casos que no se reconoce como fallo de seguridad. Es su forma de ayudar a la usabilidad.