lunes, febrero 06, 2017

En tu Facebook hay muchos usuarios y passwords que dan acceso a tu cuenta, ¿lo sabías?

Hace ya tiempo que se habló por aquí de cómo Facebook generaba varias contraseñas asociadas a tu cuenta por si te hacías un "lío" con las mayúsculas, lo que genera que cuando introduces una clave la puedas poner con la primera letra mayúscula, con las mayúsculas y minúsculas cambiadas o tu clave normal. Con todas ellas, podrás entrar, como se ve en el vídeo de la Figura 2. Pero hoy os voy a contar otras opciones de accesibilidad que también multiplican tus passwords y tus usuarios de Facebook.

Figura 1: En tu Facebook hay muchos usuarios y passwords que dan acceso a tu cuenta, ¿lo sabías? 

Si haces pruebas con tu cuenta de Facebook a ver si puedes iniciar sesión verás que se obtienen resultados muy curiosos, introduciendo nombres de usuario y contraseñas que no son ni tu nombre de usuario ni tu contraseña, pero... podrían ser un error humano. Vamos a verlo.


Figura 2: Múltiples passwords en Facebook con mayúsculas y minúsculas

Jugando con los usuarios: Hasta tres fallos

La idea es que según he probado yo, puedes equivocarte hasta en tres caracteres en la dirección de correo siempre y cuando la contraseña que introduzcas sea correcta. Si te equivocas en la contraseña, y en el nombre de usuario y Facebook tiene "dudas" de si ha sido un error o no, te pedirá confirmación de cuenta, corregirá los errores del usuario y te pedirá la password. Si te equivocas en menos de tres y pones la contraseña correcta, te dejará entrar. Supongamos que tenemos una cuenta que tiene una dirección de correo electrónico de Gmail.com.

Figura 3: Login con dirección de Gmail.com con un error

Entonces podemos jugar a poner cosas como Gmial.com o Gmil.com y veremos como el sistema, si ponemos la contraseña correctamente nos deja entrar. Eso sí, siempre que no tengamos más de tres fallos como ya he dicho.

Figura 4: El sistema lo corrige y te pide la contraseña correcta

En el caso de que no pongamos la contraseña correcta, el sistema nos corregirá la dirección de correo electrónico y nos avisará del cambio que ha hecho, pero nos solicitará otra vez que introduzcamos la contraseña correcta, como se puede ver en la imagen superior.

La contraseña: Un caracter más

Lo curioso es que con la contraseña, además de las famosas tres passwords de que se habló tiempo atrás, también es posible poner una contraseña con un carácter más al final. Basta con que pruebes tu cuenta de usuario y tu contraseña correcta, y antes de enviarla pongas un carácter más. Aún así entrarás dentro del sistema.

Figura 5: Añadiendo un carácter extra también se consigue hacer login correctamente

Y puedes mezclar ambas cosas, siempre que el número de fallos no sea mayor de tres, verás como es posible logarse con un usuario con un dominio erróneo introduciendo una contraseña con un carácter más al final.

Usabilidad versus Seguridad

Si hiciéramos unos cálculos de cuántas contraseñas se pueden introducir para hacer login, teniendo en cuenta los errores de mayúsculas y minúsculas, y los errores al introducir el nombre de usuario, además de extender la contraseña con un carácter más, son muchas. Pero siempre por usabilidad, como explican en Facebook.
Tal vez para muchos pueda parecer un problema de seguridad, pero lo cierto es que hacer un ataque de fuerza bruta a Facebook es algo que no entra en las opciones de nadie. Siguiendo las recomendaciones de evitar las contraseñas complejas en la web, al tercer o cuarto intento en el que Facebook sospeche que se ha intentado hacer login con una contraseña que no es la original, parará el proceso. 


Figura 7: Configurar Latch Cloud TOTP en Facebook

Por las dudas, lo mejor para proteger cualquier cuenta en Internet sigue siendo poner un segundo factor de autenticación, así que poned Latch Cloud TOTP en Facebook y mirad las recomendaciones de fortificación de la cuenta de Facebook para que no te roben la cuenta que publicó Chema Alonso hace tiempo.

Saludos!

Autor: José C. García Gamero

4 comentarios:

David dijo...

Peor aún, hoy te deja loguearte también con tu cuenta de Google que esté asociada con tu dispositivo Android, yo hoy reinstale Facebook y al equivocarme en el logueo sencillamente me pidió que únicamente con el acceso ya autorizado de Google en mí teléfono podía entrar a mí cuenta, y con eso ya no me pidio la clave, únicamente entró a pedirme él Token de autenticacion

razor94 dijo...

Interesante el sistema de seguridad, pero con la integración de servicios va a venir nuevas técnicas para poder entrar como loguearse desde otras páginas etc... Me admira la manera de reconocer la contraseña con mayus y min ademas de los 3 errores.

Unknown dijo...

Excelente articulo el vídeo ya lo avía visto.

CGCosmetics dijo...

Excelente blog que nos ayuda a conocer mas de nuestras redes sociales en especial porque tenemos muchos documentos de nuestra universidad (http://www.ups.edu.ec)

Entrada destacada

Tu Latch "Hack Your Innovation Contest": Haz un PoC & Hack por 1.000 €

El pasado Telefónica Innovation Day 2024 lanzamos oficialmente el " Tu Latch Hack Your Innovation Contest " en el que repartimos ...

Entradas populares