Dominios expirados

Cuando no recordás la contraseña de cualquier site donde tenés una cuenta, siempre podés pedir que te la envíen por email. Asumiendo que esta manera es la más segura, porque los emails son "privados".

En algunos sites, como Amazon o eBay, sólo ingresas tu direccion de mail y listo; al instante recibís tu clave. Otros piden responder una pregunta, etc. etc. pero en gral siempre terminás recibiendo la clave en tu mail.

Vía Hiperespacio, veo que la mejor manera de conseguir claves de sites/cuentas es más simple de lo que parecía, comprá un dominio vencido; configura una cuenta de correo "catch-all", revisas el spam que llega ahi y listo. De ahí a conseguir la clave hay un solo paso.

Link a la nota original.. hay que reconocer que haber pensado en esta manera de conseguir claves es genial :)

| Seguridad

5 thoughts on “Dominios expirados

  1. Si te mandan la contraseña por mail es una señal de que el sitio no es seguro:
    1) El email, si no va encriptado, es como una postal (de esas que tienen una foto en el frente y el texto en el reverso): **CUALQUIERA** lo puede leer.

    2) Un site seguro no debe almacenar contraseñas en la base de datos, sino un hash de la misma. De esa manera se evita que cualquier empleado del site (ni hablo de que un hacker acceda a la base de datos), pueda ver las contraseñas de los usuarios.

    Seguridad básica.

  2. Matu,
    no creo que sea asi, pienso que ademas de pedir la direccion de mail, un site debe preveer algo asi y poner alguna barrera más.

    Ej.: Si es un site de comercio electronico qeu te pidan los ultimos 6 numeros de tu tarjeta de credito o que te pidan un numero de orden anterior.. algo asi antes de enviarte la clave por mail.

    El punto dos… si.. eso de las claves en manos de los operadores es peligroso :p

  3. es que sino te la mandan por mail.. por donde te la mandan? Sino terminas haciendo como en un par de registrars que tenes uqe faxearles tu DNI/aclaracion/firma/numero de cliente y entonces te mailean algun dato para resetear el password.

    Siempre terminamos en el mail. Bah.. nunca conoci algo diferente para recuperar passes

  4. Jajaja lo del fax es buenísimo…

    Pensá que la idea es que vos nunca guardes la contraseña en tu server, sino un hash de la misma, por eso es que no se la deberías enviar por mail, ni nada…

    Podés implementar una solución en la que hagas un buen mix: mandar un link con un token por mail, al hacer click en el link le hacés un par de preguntas (como por ejemplo la famosa pregunta secreta, la fecha de nacimiento y el zipcode) y después le decís que elija una nueva contraseña.

    Podés hacer que el token del link del mail, tenga una validez de 60 minutos…

    Luego de que cambie la contraseña, le mandás un mail avisandole que su clave ha sido cambiada, y que si no fue él quien pidió el cambio, que se comunique… bla bla bla…

    Irónicamente, recién estuve en Altocity.com y los nabos lo primero que hacen es mandarte un mail con el passwd, diciendote: “guarda este mensaje en un lugar seguro”… INFELICES!

Comments are closed.