Como ya adelante ayer, a continuación os mostramos las mejoras y algunas novedades que hemos realizados estos ultimos dias motivados entre otras cosas por el nuevo hackeo de cuentas de usuario.

Contraseñas encriptadas

Ahora todas las contraseñas se guardan en la base de datos encriptadas. Hasta ahora en diversas secciones de miarroba.com, y sobre todo en su base de usuarios principal, la contraseña se guarda en modo plano, es decir, si la contraseña era "LAPIZ", se guardaba "LAPIZ" con lo cual, si se llega a leer los datos de un usuario, veriamos a simple vista la palabra "LAPIZ" como contraseña, y una vez tenemos esa contraseña podriamos entrar a la cuenta del usuario sin ningun problema.

Ahora, en la base de datos no se guarda la contraseña, sino un HASH que identifica dicha contraseña, por ejemplo, el HASH MD5 de "LAPIZ" seria "7a059dcbfcaf666d04326f8afe4fa9d3", con lo cual si el hacker consiguiese ese HASH tendria que descubrir que ese HASH corresponde a "LAPIZ", por lo cual la posibilidad de entrar a una cuenta de usuario es casi imposible. por supuesto este sistema no es infalible, pero es el que usan todas las páginas web hoy en dia.

Nueva sección de cambio de contraseña

Ahora la sección de cambio de contraseña va separada de la opción modificar perfil, y necesitara de la contraseña antigua para poder hacer efectivo el cambio de contraseña.

Reseteo de contraseña

Debido a que las contrseñas se guardan encriptadas, no se puede recuperar la contraseña actual como antes, sino que hay que provocar un reseteo y generar una contraseña aleatoria si hemos olvidado la actual, el sistema funciona igual que el anterior, con la diferencia que cuando solicitamos y confirmamos la "recuperación" de la contraseña, se nos genera automaticamente una nueva.

Nueva seccion de Ultimos Accesos en el espacio del usuario

Ahora en el espacio del usuario es posible consultar los ultimos 15 accesos (conexiones) realizadas con el usuario actual a miarroba.com o cualquiera de sus foros, asi sabremos cuando nos hemos conectado y donde.

¿MD5?

Pff....Lim....era un gran fallo tener las pass en texto plano, pero tenerlas en MD5 tampoco es que solucione la cosa....porque vamos, desencriptar una pass en md5 puede ser cuestion de minutos....incluso hay paginas que metes el md5 y te devuelven la palabra o la pass desencriptada...

Hay muchos otros algoritmos mucho mejores....el 99% de los sitios dejaron de usar md5 para encriptar las pass precisamente por eso, por lo facil que es de romper...

En ningun momento he dicho que usemos MD5, he puesto como ejemplo un HASH MD5, nada más

¿Y que algoritmo se usa? (si no es indiscreción xD)

P.D: hey reactivame mi cuenta de necesito_ayuda, que aun estoy sin poder acceder plis....

Mejor no saberlo no?

No es que yo entienda mucho, pero mejor no dar pistas, no? Que como tenga que volver a cambiar mi contraseña esta semana mi cabeza va a estallar...

Primero que nada los MD5 no se desencriptan si no que se crackean , empieza a leer y deja de postear tanta ignorancia.

La md5 es tan segura como el SHA1 o cualquier hash , ahy ya radica en la contraseña de la persona , por ejemplo la contraseña de necesito_ayuda en menos de un dia la tendria , en cambio la de H-black me hubiese demorado demaciado .

Felicitaciones , me alegro que el ataque sirviera para mejorar la seguridad

votaba*

a ver si esto no lo fastidian mas. sabes para cuando estaran abiertas las altas de nuevos sitios perdona que insistantanto pero es que tengo que probar una pagina a ver si va todo bien

gracias

me parecen acertadas las mejoras pero me temo que han llegado 2 meses tarde!!! http://soporte.miarroba.com/9109/76[....]menzar-a-encriptar-las-contrasenas/ hace + de 2 meses un usser de este soporte (que no soy yo justamente) presentó una importante sugerencia que tal vez hubiese evitado lo sucedido o ayudado a la seguridad del servidor... en ese momento todos estuvieron de acuerdo sobre su sugerencia... pero una vez + lamentablemente no se hizo lo que debió haberse hecho... Eso me lleva a suponer que -pese a los denodados esfuerzos de quienes quieren ayudar a mi@ con sugerencias- la seguridad no es una prioridad para los responsables... Es una pena que esto sea así, pero en última instancia lim es el responsable de velar por la excelencia del servidor y si él ha hecho caso omiso a las sugerencias que a nuestro criterio favorecen a su servidor creo que nada + debe decirse contra él... cada quién sabe cómo debe gestionar un servidor... yo sólo doy una opinión que muchos comparten pero pocos la hacen pública... Sólo espero que por el bien de los ussers, que las cosas mejoren, porque hay mucha gente que tienen proyectos que le han insumado mucho trabajo en mi@ todavía... Hasta luego

Te das cuenta a simple vista si es md5 o sha-1 por la longitud

^^

No son los unicos tipos de hash , tambien estan los mysql , md4 , etc..

alguien sabria decirme porque se encuentran desactivadas las altas de los espacios web¿? y cuando volveran a estar operativas¿?. Muchas gracias de antemano.

el por qué, porque estan trabajando para que funcionen con el sistema de encriptado. Y el cuándo, pues se supone que ya debian estar activas desde hace  semana...

gracias por contestarK1ll1ng_M4ch1n3aunque por más que lo intento siempre me sale un mensaje con "altas temporalmente desactivadas" espero que se solucione lo antes posible.

El que sea temporal no significa que sea por unos minutos. Lleva días asi y todavía no se sabe cuantos mas deberán transcurrir.-

Ya estan disponibles las altas de nuevos espacios web

de toda manera me quedaré mi 1ro foro aqui y en segundo en foroactivo...luego veré si aún tengo otro problema aqui, créaré otro alli ! ademas hé visto que han añadido nuevas opciones como perfiles personalizados o sistema de reputacion...no tengo el tiempo crear otro pero...a ver lo que pasa...salu2

Tienes razón.

PD: invisible, los hash md5 son de una sola dirección, solo se encriptan, por eso lo usan muchas páginas; lo que se hace es que cuando te registras se encripta tu password, cuando te logueas de nuevo se encripta el password que diste al sistema y se compara con el que hay en la base de datos.

Lo que hacen los programas o las webs es tener una base de datos con las palabras más comunes y encriptan el md5 que les das y lo comparan en la base de datos. Los programas aveces también tienen otra función que es que se ponen a encriptar palabras hasta que dan con la que coincide con el md5 que les diste.

PD2: Y QUÉ PASÓ CON PH?

Salu2.

no sé a qué se debe tanto autoritarismo por parte de algunos miembros del staff... comunmente acostumbran a pasarse los temas comprometedores sin responderlos siquiera, pero me temo que mi último post ubicado en este tema ha sido borrado sin ninguna razón aparente que no sea el simple capricho autoritario de alguien... habida cuenta que en el mismo no he faltado el respeto a nadie... sólo he dado una opinión muy subjetiva sobre algo en concreto...

en fin... la ideas no se matan, y más allá del autoritariosmo revelado por quien borró mi post sin razón alguna, veo muy poca decencia en el hecho de hacerlo... es muy poco educado contrarrestar las opiniones de los que no piensan igual que uno eliminando sus post de manera furtiva y sucia...

Cada quién sabe lo que hace, de lo que estoy muy tranquilo es que aquí me falta el autoritarismo que a muchos les sobra... 

Adios!

Pues hombre Astrall, yo sí he visto tu mensaje, así que de furtivo.. no se yo, llevaba ya escrito media hora... Muy correcto no era, pero bueno, en tu linea de escritura. Si al resto no nos borran los mensajes a lo mejor es hora de que pienses qué puedes estar haciendo tú que el resto no hacemos...

Hola.

Bienvenida sea toda mejora en la seguridad, muchas gracias.

Quiero reportar que desde mi foro, al querer recuperar la contraseña de un usuario, me lleva al sector para cambiar contraseña.

Saludos.

Ahora las contraseñas están encriptadas...entonces, al querer recuperarla se debe generar una nueva contraseña aleatoria que se te envía a tu correo.

El sistema ahora es diferente... quizás sea esto lo que veas extraño

bueno 1° que nada te dejo mi último post...

sobre si mi post era o no muy correcto es una cuestión de apreciación personal que no tiene nada que ver con la soberbia y el autoritarismo que caracteriza a algunos...

cuál fué mi pecado? tener ideas propias, libres de toda obsecuencia o reverencia, defender mis ideas con argumentos y disintiendo con algunos pero sin faltarle el respeto a nadie...

Sucede que El autoritarismo y La soberbia son dos grandes amigos de La obsecuencia, y mi error fué el pensar que podría disentir con personas autoritarias y soberbias... pero no me arrepiento de tener la personalidad que a otros les falta...

No sé qué sucederá en mi@ ni con los sitios hackeados, espero que las cosas mejoren (por el bien de los usuarios), lo que si tengo por seguro es que no volveré a tener más problemas...

Mucha suerte!

Hola, gracias por responder.

Pero no es el caso, osea, al querer recuperar una contraseña (para logearse), me lleva al sector para cambiar la contraseña.

Para ello debo colocar la antigua contraseña (justamente, la que no recuerdo...en realidad es la una usuaria mia)

Ai otros le sucede eso ?

Saludos.

Un usuario de mi foro no puede entrar con su contraseña, le dice que es incorrecta. Le ha dado a recuperar contraseña y le ha llegado un email con un codigo totalmente distinto a su clave y le viene con otro nick, porque este usuario tiene dos nick registrados en mi@ pero ha querido recuperar la contraseña con el nick que siempre usa y le ha venido ese codigo con el otro nick, es decir,

esta intentando recuperar contraseña de H2OMarina_valencia y el email que ha recibido de mi@ le viene para este nick H2OMarina

ha metido el nick de h20marina con el codigo que le venia en el email, pero claro ella quiere recuperar su clave de H20marina_valencia que es con el que postea, ha habido algun error o algo???

Hola, he solicitado recuperar mi contraseña pero me han mandado por correo una cotraseña para un nick diferente al que utilizo habitualmente para postear. Tengo dos nicks H2OMarina -es del cual he recibido la contraseña y que nunca utilizo- y H2OMarina_valencia -con el que siempre posteo y del cual quiero recuperar la contraseña-, sería posible que me mandaran la contraseña de este último nick?.

Gracias