Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
Blog de la Escuela de Educación Secundaria Técnica N 8 de Quilmes
Administrador Prof. Claudio Enrique Alonso Alvite
img
10 de Mayo, 2014    General

Tu cuenta de Facebook tiene 3 passwords y tú no lo sabes


Entre los muchos correos electrónicos que recibo hay muchos de gente que me cuenta que ha descubierto alguna cosa que tiene que ver con seguridad, lo que me ayuda a estar un poco más al día de lo que está sucediendo en el mundo de la seguridad. De todos ellos, hay algunos que suelen ser erróneos o que directamente no han hecho las pruebas. Por eso, cuando los leo, procuro intentar discernir si lo que me cuentan tiene sentido o no. Hoy os voy a hablar de uno de esos que resultó ser un misterio sin resolver.

El misterio de las passwords sin cifrar de Facebook

Uno de esos correos llegó con un asunto que decía "Contraseñas sin cifrar en Facebook". Mi primera suposición era que me iba a preguntar algo referente al artículo que escribí sobre cómo conseguir que las credenciales de Facebook se capturen por la red sin cifrado, pero no, no era eso. Cuando seguí leyendo el mensaje, me decía que se había dado cuenta de que en su cuenta de Facebook podía entrar con la contraseña escrita en mayúsculas cuando su contraseña está escrita en minúsculas, lo que  para él significaba que Facebook no hashea las passwords enMD5.

Lógicamente no me lo creí y le dije que era imposible. Tengo claro que Facebookguarda hashes de las contraseñas y por supuesto no va a ser en MD5. Ya usarán unSHA256 con algún Salt o similares. Conociendo a la gente de seguridad que hay detrás de Facebook no iba ni a perder un minuto de tiempo en comprobar algo así. Contesté que no podía ser, que algo estaría haciendo mal en sus pruebas. Lo que pasó por mi cabeza fue que seguramente tenía cacheada la sesión o la contraseña y por eso estaba teniendo acceso. Aún así, probé a escribir todas las letras de mi contraseña de Facebook primero todo en minúsculas y luego todo en mayúsculas y no funcionó, por lo que contesté que a mí no funcionaba

Sin embargo, insistió y me grabó un vídeo, por lo que después de un par de días decidí ver el vídeo y probarlo con otra cuenta que me cree desde cero y volvió a fallarme. Algo no iba bien y tenía que ser en su equipo. ¿Cómo va a funcionar una contraseña distinta cuando esto 100% seguro de que Facebook hace hashing de passwords? Y le contesté a David Guzmán - que así se llama mi interlocutor - que volví a probarlo con una password que tenía letras y números y no me funcionó.

La prueba que yo hice fue crearme una cuenta con una clave aAa777 (en el vídeo está mal) e intentar entrar con aaa777 y con AAA777 y no funcionó, por lo que le envié a David un correo diciéndolo que había intentado entrar como él me decía y no había tenido éxito. Quiso el corrector o el destino que al escribir la contraseña de la cuenta escribiera mal la password  en el mensaje y pusiera la segunda "A" en minúscula, así David me hizo este vídeo donde se podía entrar y a mí me permitió resolver el misterio y encajar las piezas.
Figura 1: El vídeo de la cuenta de Facebook con múltiples passwords

La resolución al misterio de las múltiples passwords de Facebook

En el vídeo se puede ver que con una contraseña como aaa777 se puede entrar en el sistema usando también AAA777 y Aaa777, pero yo estaba seguro que con la password aAa77 no funcionaban ni aaa777 ni AAA777. Por supuesto, seguía teniendo claro que Facebook está haciendo hashing, así que... ¿qué podría estar pasando?

Tras probar todas las combinaciones me di cuenta de que las passwords que funcionan son dos:
1.- Passwords que se pueden escribir cuando tienes el Bloq+Mays activadas. Es decir, no es que pongas la contraseña todo en mayúsculas o todo en minúsculas, es que hagas una inversión de las letras. Es decir, si tu password es aBcDeF11 entonces también es tu password AbCdEf11. Esto quiere decir que al menos tienes doss passwords. 
2.- Passwords que teniendo la primera letra en minúscula, se escribe en mayúscula. En muchos controles de tablets, cuando se pulsa sobre un campo para introducir un texto, por usabilidad se activa la tecla de Mays solo para la primera letra, lo que puede llevar a que si tu password comienza por una letra minúscula, como el ejemplo de aBcDeF11, entonces también te valga la password ABcDeF11.
Tras encajar todo, las cosas cobran sentido. Lo que Facebook hace es probar esas posibilidades, así que tu password de Facebook puede pasar de ser una a ser tres, solo porque las opciones de usabilidad han ganado una vez más la batalla a la seguridad. De esta forma se reducen problemas de soporte con los usuarios que tienen el modo de mayúsculas activado sin querer o que usan una conexión desde un control que pone la primera letra en mayúsculas de forma automática.

ActualizaciónFacebook reconoce este hecho y explica que este es uno de los casos que no se reconoce como fallo de seguridad. Es su forma de ayudar a la usabilidad.

Figura 2: La explicación oficial de Facebook

Saludos Malignos!
Fuente: http://www.elladodelmal.com/2014/05/tu-cuenta-de-facebook-tiene-3-passwords.html
De Chema Alonso
Palabras claves , , , , ,
publicado por alonsoclaudio a las 12:30 · Sin comentarios  ·  Recomendar
 
Más sobre este tema ·  Participar
Comentarios (0) ·  Enviar comentario
Enviar comentario

Nombre:

E-Mail (no será publicado):

Sitio Web (opcional):

Recordar mis datos.
Escriba el código que visualiza en la imagen Escriba el código [Regenerar]:
Formato de texto permitido: <b>Negrita</b>, <i>Cursiva</i>, <u>Subrayado</u>,
<li>· Lista</li>
CALENDARIO
Ver mes anterior Enero 2023 Ver mes siguiente
DOLUMAMIJUVISA
1234567
891011121314
15161718192021
22232425262728
293031
BUSCADOR
Blog   Web
TÓPICOS
» General (2606)
NUBE DE TAGS  [?]
SECCIONES
» Inicio
ENLACES
MÁS LEÍDOS
» Analizando el LiveBox 2.1 de Orange
» Cómo espiar WhatsApp
» Cómo usar Metashield protector for Client y por qué utilizarlo
» Detectando tráfico de conexiones HTTP inversas de Meterpreter (Snort)
» Ejecución remota de código arbitrario en OpenSSH
» Ganar dinero con 1.200 Millones de identidades robadas
» Hardware y sus 4 Funcionamientos Basicos y Principales en una Computadora
» Redes de la Deep Web: CJDNS y la Red Hyperboria
» Unidad Central de Procesamiento CPU
» Wassap, la aplicación que permite usar WhatsApp desde la PC
SE COMENTA...
» Cómo espiar WhatsApp
595 Comentarios: Scott, Scott, Jarlinson mercy, [...] ...
» Qué hacer ante el robo de un teléfono móvil o una tableta
2 Comentarios: best buy security cameras swann, best buy security cameras swann
» Espiando usuarios gracias a la vulnerabilidad en cámaras TRENDnet
1 Comentario: Coin
» Recopilatorio de aplicaciones y sistemas vulnerables para practicar
2 Comentarios: vera rodrigez ...
» SoftPerfect WiFi Guard permite saber quién esta conectado a mi WiFi
2 Comentarios: firdous ...
SOBRE MÍ
FOTO

Prof. Claudio Enrique Alonso Alvite



» Ver perfil

AL MARGEN
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes
(Técnicos en Informática Personal y Profesional)
FULLServices Network | Blogger | Privacidad