Me ha gustado mucho este proyecto de Stanford y me gustaría que le echásemos un vistazo. Pwdhash es una extensión para firefox e internet explorer cuya misión es permitirnos emplear una password única para todos los dominios. Por ejemplo, tendríamos:
Como veis, nos ha generado una password distinta para cada uno de los dominios. Notar que lo que enviaremos como password, una vez instalada la correspondiente extensión en el navegador (firefox), es el hash, que es lo que queda almacenado en el servidor.
Si alguien hackea el servidor, lo que obtendría sería un hash de nuestra password, válido únicamente para ese dominio en particular. Es decir, tendría que reventar por fuerza bruta nuestra passwod antes de ser hasheada por pwdhash. Si elegimos una única password fuerte, esto es imposible.
La propia explicación de los autores es bastante ilustrativa:
Specifically, PwdHash captures all user input to a password field and sends hash(pwd,dom) to the remote site, where dom is derived from the domain name of the remote site. [...] This technique deters password phishing since the password received at a phishing site is not useful at any other domain.
El addonn para firefox lo podemos encontrar aquí.
Una vez lo tenemos instalado, su funcionamiento es muy sencillo. Metemos el usuario y antes de escribir la password pulsamos F2, lo que activará el complemento y substituirá el password por el hash creado por pwdhash.
Finalmente, me gustaría hacer notar que los autores de pwdhash han tenido en cuenta que la password podría ser interceptada mediante javascript antes de ser hasheada. Para defenderse de estos ataques, lo que hacen es interceptar la secuencia de caracteres @@ (nosotros hemos usado F2, que es lo mismo), guardar y hashear todo y reemplazar los caracteres antes de pasarlos al navegador. De forma que el siguiente complemento, el del phisher, únicamente recibe basura. Podéis encontrar más info en la página del proyecto.
Es un complemento interesante y que merece la pena conocer.
Saludos y hasta pronto.
FUENTE:
http://hacking-avanzado.blogspot.com/2010/02/protege-tus-passwords-con-pwdhash.html
No hay comentarios:
Publicar un comentario