Quali possibili falle nella sicurezza potrebbero esserci dietro il messaggio di aggiornamento della password di questo Pokerstars?

3

Ho cercato di aggiornare la password dell'account Pokerstars oggi e mi è stato presentato il seguente errore:

Lamiadomandaè,qualipotrebberoesserelevulnerabilitàdellasicurezzadietro"La tua password deve iniziare con una lettera" e "non può iniziare con le lettere" tmp "".

Suppongo che ciò sia dovuto ad una sorta di modo hacky per verificare gli account temporanei (non ancora attivati) dalla loro parte? In tal caso, significa che lo stanno memorizzando in testo normale? Mi sto perdendo qualcosa qui?

    
posta hugomarisco 25.09.2016 - 01:48
fonte

1 risposta

1

Mentre una risposta definitiva può venire solo dall'origine del messaggio e dalle restrizioni, ci sono alcuni punti da fare.

L'idea generale di limitare le password in questo modo (specialmente con la parte tmp) suggerisce che qualcosa non è come dovrebbe essere e suggerisce le password in testo semplice. Tuttavia, a beneficio del dubbio, potrebbero utilizzare uno speciale schema di hash che blocca i primi tre caratteri della password separatamente, consentendo loro di verificare la presenza di password assegnate temporaneamente.

Questo potrebbe rappresentare una minaccia, a seconda di cosa viene dopo la parte tmp : se questo è solo 5 numeri, lo spazio di ricerca per l'enumerazione su tali password è minuscolo, per esempio.

In ogni caso, questa restrizione suggerisce loro di utilizzare password per archiviare informazioni che non vi appartengono (ma in un campo separato nel database) - e anche se non deve rappresentare una minaccia di per sé, implementando tali tecniche è generalmente un segno di cattiva ingegneria del software.

Questo di per sé può rappresentare una minaccia: gli sviluppatori software sbagliati hanno più probabilità di commettere errori su molti livelli che aspettano solo di essere trovati e sfruttati.

Qualunque sia la ragione per cui possono implementare questa restrizione, è un segno di programmazione errata e / o software scadente o ingegneria di database e quindi un segno di pericolo; dovresti utilizzare una password monouso e sicura e considerare fondamentalmente l'account compromesso per essere al sicuro.

    
risposta data 01.12.2017 - 13:44
fonte

Leggi altre domande sui tag