Ahora que tengo tiempo (de manera obligatoria, debido a un accidente) voy a mostrar un post que tenía guardado hace rato.
Otro caso de la vida real, si bien el usuario es considerado el eslabón más débil dentro de una aplicación en general, y no por dar un poco más de facilidad a estos se puede exponer su seguridad.
Vamos al grano tenemos la siguiente aplicación perteneciente a Laboratorios Droguería INTI S.A.:
Para entrar a la aplicación hay que “seleccionar” un nombre de usuario y escribir un Contraseña, si escribí “seleccionar”, ya que todos los usuarios son mostrados en un campo tipo select, ahora usando fuerza bruta ya se puede ingresar fácilmente a la aplicación, pero alto esto continúa…
Lo peor es que algunos nombres de usuario son iguales a las contraseñas, y por tanto uno puede ingresar a la aplicación de manera mucho más sencilla.
De todo esto se pueden rescatar las siguientes sugerencias:
- Si bien las aplicaciones tienen que ser intuitivas, fáciles y rápidas de usar, pero no por esto se puede dejar de pensar que un usuario no pueda memorizar y escribir el id de acceso a la aplicación.
- No se deben de mostrar todos los usuarios y menos en un campo de tipo select.
- El clásico error es que la contraseña sea igual al nombre de usuario, no es difícil para un usuario recordar un id de acceso y un contraseña que sean distintas, en caso de que fuera muy muy difícil entonces se podrían usar los correos electrónicos como cuentas de usuario, es algo que siempre ayuda.