Para Hotmail
mivozesmipasaporte*18276812763817236552
es la misma contraseña que
mivozesmipasaporte*11111111111111111111
En Ars Technica cuentan una interesante historia sobre una extraña práctica que ha venido utilizando Microsoft en los últimos años en Hotmail vulnerando unas cuantas buenas prácticas acerca de la gestión de contraseñas: Secret Microsoft policy limited Hotmail passwords to 16 characters.
El resumen es que las contraseñas de Hotmail están limitadas a 16 caracteres, pero antiguamente lo estaban… o algo así: permitían teclear muchos más caracteres (20, 30…) aunque en realidad parece que no se usaban para nada (!) Ahora las contraseñas largas siguen funcionando, pero únicamente si tecleas los primeros 16 caracteres.
Lo peor es que eso quiere decir que o bien las contraseñas se guardaban sin cifrar (en texto claro, «uno de los mayores pecados que puede cometer un administrador») o bien los caracteres del 17º en adelante nunca han servido para nada y se ignoraban – proporcionando a la gente una falsa sensación de seguridad.
El mayor problema es lo que puede verse arriba: contraseñas que parecen seguras y casi aleatorias por usar muchas letras y números… pero que no son tales porque las letras o palabras del comienzo son exactamente las mismas.
De hecho con
mivozesmipasapor
estarías dentro.
Un aplauso para Costin Raiu de Kaspersky Lab que según explican en Ars Technica fue quien se dio cuenta de las importantes implicaciones de un detalle tan aparentemente trivial en la pantalla de entrada a Hotmail.