¿Guardar las contraseñas sin ocultar? Error de principiante

La semana pasada nos levantamos con la noticia Twitter recomienda cambiar la contraseña a sus 300 millones de usuarios por un fallo en la seguridad:

Twitter ha recomendado a sus usuarios que revisen la posibilidad de cambiar su contraseña de acceso tras detectar un problema técnico en sus sistemas internos, aunque ha aclarado que no hay indicaciones de que haya habido una filtración externa.

La recomendación figura en una anotación en el blog de la compañía firmada por el responsable técnico de Twitter, Parag Agrawal, en la que describe cómo sucedió ese error y las medidas que recomienda para garantizar la confidencialidad.

De acuerdo con el aviso, Twitter almacena las contraseñas encriptadas, reemplazado el texto escrito por el usuario con una serie de números y letras, y almacena los datos en sus propios sistemas, un proceso de “hashing” que califica de “estándar”. Pero “debido a un error, las contraseñas se escribieron en un registro interno sin completar el proceso de ‘hashing”, agrega la compañía, aunque no aclara a cuántos usuarios afectó el error.

Cuando entré a Twitter me encontré el siguiente aviso:

En el artículo Keeping your account secure de Twitter explican un poco más:

We mask passwords through a process called hashing using a function known as bcrypt, which replaces the actual password with a random set of numbers and letters that are stored in Twitter’s system. This allows our systems to validate your account credentials without revealing your password. This is an industry standard.

Due to a bug, passwords were written to an internal log before completing the hashing process. We found this error ourselves, removed the passwords, and are implementing plans to prevent this bug from happening again.

Y también mandaron un correo electrónico, en español, con la explicación de lo sucedido:

Cuando estableces una contraseña para tu cuenta de Twitter, recurrimos a la tecnología para ocultarla a fin de que ninguna persona de la empresa pueda verla. Recientemente, descubrimos un error que guardaba las contraseñas no ocultas en un registro interno. Hemos corregido el error y nuestra investigación demuestra que ninguna persona incumplió las reglas ni hizo un uso indebido de la información.

Para mayor seguridad, te recomendamos que cambies tu contraseña en todos los servicios donde la utilizaste. Puedes cambiar tu contraseña de Twitter en cualquier momento yendo a la página de configuración de contraseñas.

Ocultamos las contraseñas a través de un proceso de hash que utiliza una función conocida como bcrypt, mediante lo cual la verdadera contraseña se reemplaza por un conjunto aleatorio de números y letras que se guardan en el sistema de Twitter. Esto permite que nuestros sistemas validen las credenciales de tu cuenta sin revelar tu contraseña. Este es un estándar de la industria.

Debido a un error, las contraseñas se escribían en un registro interno antes de que se completara el proceso de hash. Nosotros mismos descubrimos este error, eliminamos las contraseñas y comenzamos a implementar planes para evitar que este error se vuelva a producir.

Profesor del Departamento de Lenguajes y Sistemas Informáticos de la Universidad de Alicante (España). Interesado en el desarrollo y la accesibilidad web.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.