Iloo

https://iloo.wordpress.com

Web Applications Security: tip 2, datos de acceso

Ahora que tengo tiempo (de manera obligatoria, debido a un accidente) voy a mostrar un post que tenía guardado hace rato.

Otro caso de la vida real, si bien el usuario es considerado el eslabón más débil dentro de una aplicación en general, y no por dar un poco más de facilidad a estos se puede exponer su seguridad.

Vamos al grano tenemos la siguiente aplicación perteneciente a Laboratorios Droguería INTI S.A.:

Para entrar a la aplicación hay que “seleccionar” un nombre de usuario y escribir un Contraseña, si escribí “seleccionar”, ya que todos los usuarios son mostrados en un campo tipo select, ahora usando fuerza bruta ya se puede ingresar fácilmente a la aplicación, pero alto esto continúa…

Lo peor es que algunos nombres de usuario son iguales a las contraseñas, y por tanto uno puede ingresar a la aplicación de manera mucho más sencilla.

De todo esto se pueden rescatar las siguientes sugerencias:

  1. Si bien las aplicaciones tienen que ser intuitivas, fáciles y rápidas de usar, pero no por esto se puede dejar de pensar que un usuario no pueda memorizar y escribir el id de acceso a la aplicación.
  2. No se deben de mostrar todos los usuarios y menos en un campo de tipo select.
  3. El clásico error es que la contraseña sea igual al nombre de usuario, no es difícil para un usuario recordar un id de acceso y un contraseña que sean distintas, en caso de que fuera muy muy difícil entonces se podrían usar los correos electrónicos como cuentas de usuario, es algo que siempre ayuda.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s