Contraseñas de 3DJuegos

DrAndrewRyan3408Hace 7 años16

@Katarinapentakil 
Mostrar cita
@DrAndrewRyan 
Mostrar cita
Sinceramente, con el correo que nos muestra la clave nos ahorramos tener que perder el tiempo cambiando a una nueva, en cuestión el asunto son ganas de tocar los huevos y @Yasinator debería expulsarte. 

Saludos.
Sinceramente, al estrangular a una embarazada nos ahorramos tener que perder el tiempo cambiando pañales y educando a nuestor hijos, en cuestión el asunto son ganas de tocar los huevos y @Yasinator debería expulsarte.
(Es todo una bromis parodiando la burrada que acaba de decir)
¿Y si el del post tiene una discapacida? Eres una mala persona.
Me hace gracia cómo haces el ridículo, no pares, sigue.

Hooh21184Hace 5 años17

Reabro el hilo para aclarar una cosa a los que no lo comprenden, a ver si se entiende. 

Según [url=https://www.3djuegos.com/foros/tema/42929689/0/carta-abierta-a-3djuegos-en-relacion-a-la-seguridad-del-sitio/]este hilo[/url], desde 3DJuegos aclararon que las contraseñas NO se almacenan en texto plano, es decir que se almacenan hasheadas. Aún así, la seguridad de 3DJuegos es mala por lo siguiente:

¿Que es un hashing y para que sirve? Un hashing es un código que se obtiene a través de una clave (en este caso, una contraseña) para que nadie pueda ver directamente la contraseña.

hola ---> HASHING mediante MD5 ---> 4d186321c1a7f0f354b297e8914ab240

De esta forma en la base de datos se almacena ese código, por mucho que un intruso se cuele en la base de datos, no verá más que ese código que no le servirá de nada, ya que no podrá saber que ese código se corresponde a "hola". Ahi está la gracia del hashing. Que a partir de una clave puedes conseguir el código hash, pero no puedes realizar el proceso a la inversa. Es decir, a partir de ese código tu no puedes saber de ninguna forma que la clave original era "hola". Como curiosidad, hay muchísimos algoritmos de hashing (md5, SHA1...) y todos deben funcionar en un único sentido.

Pues bien, como bien indica el autor original del post, al solicitar tu contraseña de 3DJuegos te la mandan directamente en texto plano a tu correo. ¿Como pueden saber ellos tu contraseña si la almacenan hasheada? Como he dicho, a partir de un hash NUNCA se debe poder obtener la clave original, ya que si hay una forma, el hacker intruso podría usarla. 

Por esto último, solo podemos deducir que en 3DJuegos usan algún tipo de algoritmo de hashing propio, mediante el cual pueden hashear las contraseñas y a su vez "deshashearlas", para así poder mandarlas cuando un usuario la solicita, algo así como:

Usuario X se registra con contraseña "hola" ---> Hashing cutre de 3DJuegos ---> "a1b2c3d4"
Usuario X pide recuperar contraseña --->  "a1b2c3d4" ---> "Deshashing" de contraseña ---> "hola" 

Esto es una aberración, y es como si no se usara hashing. A un intruso experto, si ha sido capaz de acceder a la base de datos, no le costaría absolutamente nada descubrir como se "deshashean" las contraseñas para mandarlas por correo y deshashearlas el mismo. Por ello usar hashing de esta forma, en la que se puede obtener la clave a partir del hash, es totalmetne inútil. Es prácticamente como si se guardaran en texto plano, lo único que estás es haciendo que el hacker tarde 10 minutos más en obtener las contraseñas.
EDITADO EL 22-07-2018 / 19:46 (EDITADO 4 VECES)