jueves, 29 de noviembre de 2007

Dime tu contraseña.

¿Se han encontrado con aplicaciones web que piden contraseñas y le dicen a uno qué tan "segura" es? Yo sí en varias ocasiones aunque nunca he puesto mis contraseñas a prueba en estas aplicaciones online. ¿La razón? Puede ser un truco para conseguir mi contraseña o alimentar a un diccionario de contraseñas para elaborar ataques de fuerza bruta.

En esta ocasión me encontré con una aplicación web (http://www.codeassembly.com/examples/passwordstrength.php) que curiosamente no sólo me pide mi contraseña, sino mi correo electrónico, nombre y apellido. ¿Por qué querrán saber mi correo y nombre si lo que quiero ver es la fortaleza de mi contraseña y puedo ver los resultados en la misma página web?

Se me ocurrió que alguien mal intencionado puede enviarnos correos diciendo que hay una fabulosa aplicación online para ver qué tan segura es mi contraseña. Y hasta nos puede pedir nuestra cuenta de correo para mandarnos la información analizada con gráficas y recomendaciones. Tal vez no recibamos el correo esperado y mientras tanto alguien más tendrá ya una contraseña nuestra junto con la cuenta de correo. Apuesto a que la contraseña que dan los usuarios en este tipo de páginas será funcional (servirá para entrar a la computadora del usuario, o para el correo web, etc.)

Esto puede ser la base para idear algo más "grande" a nivel empresarial o puede servir para propósitos más "mundanos" y obtener la contraseña y cuenta de correo de esa persona que tan mal me cae e inclusive husmear en la computadora o correo de una pareja sentimental. Todo depende de que la víctima acceda a probar la fortaleza de su contraseña y listo, a empezar a ver si es la del correo, la de la computadora, la de MySpace o FaceBook.

PD: en todo caso que deseen probar este tipo de aplicaciones, asegúrense de haber buscado ustedes mismos esta aplicación y que nadie se las haya enviado; y no dar ninguna información adicional que no sea la contraseña.