Pregunta:
Fecha: 01-03-2019 15:35:24
(En Español)
Me he quedado sorprendido al enterarme en una conversación con un amigo de que desarrollar una Red Social o pagina web sin cifrar la contraseña es ilegal.
Yo sabia que desarrollar un sitio con registro de usuario e inicio de sesión sin cifrar la contraseña es un riesgo de seguridad enorme pero nunca supe hasta hoy que escribo esto que era ilegal.
Se que tal vez el tema no venga mucho al caso con el foro ya que es para resorber problemas de código, pero me dio mucha curiosidad conocer sus opiniones. Votos: 0 - Respuestas: 17 - Vistas: 18 Compartir en: Google Facebook Twitter LinkedIn Link
¿Es ilegal crear una web y no cifrar la contraseña ?[Resuelta]
Hola amigos de la comunidad...Me he quedado sorprendido al enterarme en una conversación con un amigo de que desarrollar una Red Social o pagina web sin cifrar la contraseña es ilegal.
Yo sabia que desarrollar un sitio con registro de usuario e inicio de sesión sin cifrar la contraseña es un riesgo de seguridad enorme pero nunca supe hasta hoy que escribo esto que era ilegal.
Se que tal vez el tema no venga mucho al caso con el foro ya que es para resorber problemas de código, pero me dio mucha curiosidad conocer sus opiniones. Votos: 0 - Respuestas: 17 - Vistas: 18 Compartir en: Google Facebook Twitter LinkedIn Link
Respuestas:
-
Fecha: 01-03-2019 19:31:07 Entiendo que te refieres a que la contraseña debe estar encriptada en la base de datos.
No es ilegal, por qué lo iba a ser?
Además soy de los que opina que guardar la contraseña encriptada no tiene mucho sentido. Votos: -1 - Link respuesta -
Fecha: 02-03-2019 06:26:53 Hola Fernando, la verdad no lo iba a hacer.
Simplemente me dio mucha curiosidad saber si eso era cierto de que es ilegal. Votos: 0 - Link respuesta -
Fecha: 02-03-2019 12:00:21 ¿No tiene sentido guardar una contraseña encriptada?
Falta algo de lógica en tu apreciación, si das un argumento realmente válido que lo soporte y que refute todo lo aprendido hasta ahora, sería bueno que lo compartas.
La contraseña se encripta no por moda, si no por seguridad, pues los servidores no son del todo infalibles y si de casualidad llegase a quedar expuesta tu base de datos, lo mejor sería que las claves de acceso esten encriptadas y de una manera robusta ya que le harías el trabajo difícil e incluso imposible a quien las obtuvo.
No por nada se recomienda dicho procedimiento en cualquier proceso que lo a merite y te aseguro que si un cliente o usuario pierde dinero o información personal importante a causa de la baja o nula seguridad en las contraseñas, no vas a tener dinero para pagar las demandas que tendrás. Quieres evitar demandas, haz seguro tu sistema. Votos: 4 - Link respuesta -
-
Fecha: 03-03-2019 04:51:29 Braylin
Buenos dias
El manejo de la contraseña, no es ilegal, hay un viejo dicho de la justicia, que dice: "TODO AQUELLO QUE NO ESTA PROHIBIDO, ESTA PERMITIDO".
Es decir, no hay ninguna Ley o Norma que indique algo sobre ello.
En consecuencia, lo que importa a partir de aqui, es el COMPORTAMIENTO ETICO del que puede utilizar bien o mal dicha informacion, ya sea esta en particular o cualquier otra que se encuentre en una BD.
Un saludo Votos: 3 - Link respuesta -
Fecha: 03-03-2019 05:54:33 Yo lo que puedo decir, es que nosotros tenemos un compromiso con los usuarios que usen nuestros sistemas, si podemos brindarles la mayor seguridad posible es mejor, si no se encripta una contraseña no estamos brindando esa seguridad y en algún momento alguien va a hacer uso de esas cuentas por no tener esa capa de seguridad extra.
Así que los esfuerzos de los programadores por mantener los lenguajes seguros se van al caño solo con dejar la contraseña sin encriptar, es como crease un sistema administrativo sin validar sesiones o grupos de usuarios, parecería un carnaval jajajaja. Votos: 2 - Link respuesta -
Fecha: 03-03-2019 06:22:51 Buenos días a la comunidad.
Tomando los criterios anteriores, ciertamente en principio no hay un argumento legal (dependerá de la legislación de cada país) sobre este tema pero se debe tener en cuenta varios puntos:
-Si se crea un sistema, como lo es algo similar a una red social, y se pide o permite el registro y logueo de usuarios lo menos que se puede ofrecer es que el usuario tenga la seguridad y confidencialidad del caso con los datos ingresados, esto es debido a que hay robots que pueden atacar los sistemas inseguros y robar, datos, correos, contraseñas, etc, con lo que eso implica.
-Si se quiere tener prestigio y mejorar la captación de usuarios o incluso clientes para publicidad, ésto debe ir de la mano con la confiabilidad del sitio. Un sitio que se presente seguro y brindando los estándares mínimos del mercado pues será mejor apreciado.
-Como mencioné anteriormente, y dadas las distintas situaciones a nivel de intrusión, robos de identidad, incluso plagio, secuestro, y cientos de situaciones más, cada país está tomando ya asunto en incluir en sus legislaciones artículos muy puntuales respecto a los sistemas de información y su interacción con los usuarios.
No será raro que en un momento sea realmente obligatorio para los desarrolladores garantizar esos niveles de seguridad mínimos para los usuarios así que será mejor ir tomando esaas políticas en nuestros sistemas.
Saludos desde Ecuador
Carlos Votos: 2 - Link respuesta -
Fecha: 03-03-2019 06:35:07 Muy bien Carlos Aimacaña, excelente explicación. Votos: 0 - Link respuesta
-
Fecha: 04-03-2019 10:59:22 Solo para complementar las excelentes respuestas de los demás colegas es importante saber que en algunas industrias el desarrollo de un sistema está regulado por entidades que forzan la implementación de ciertos mecanismos de protección de datos (HIPAA, PCI, GDPR por mencionar algunos).
En esos casos si tu sistema no se apega a las regulaciones existente entonces sí, estarías en una situación ilegal. Votos: 2 - Link respuesta -
Fecha: 04-03-2019 14:09:56 Ilegal o no, las empresas que cuentan con un departamento de seguridad informática te lo exigirán e incluso puede que ni te permitan usar tu propio sistema de login y debas usar servicios del sistema operativo para lograr usando la clave de red o también algún SSO de la empresa.
En mi experiencia he usado eso que te comento sobre la clave de red, también servicios como Active Directory Federation Service (ADFS) y un SSO de una entidad de gobierno de mi país Votos: 2 - Link respuesta -
-
Fecha: 04-03-2019 17:43:36 Concuerdo con Jorge. En lo personal soy también desarrollador y administrador de sistemas por muchos años en una institución educativa, y pues, lo menos que podemos garantizar es la seguridad y confiabilidad de nuestros sistemas y por ende de los datos e información de nuestros padres de familia y estudiantes.
Más aún si en algún momento se quiere hacer comercial a nuestros sistemas, los estándares nos exigen cubrir los parámetros mínimos de seguridad.
Saludos Votos: 1 - Link respuesta -
Fecha: 07-03-2019 11:26:01 Hola compañeros, y en especial Carlos Quintero.
Por supuesto que tengo argumentos para decir que "guardar una contraseña encriptada no tiene mucho sentido".
Primero quiero puntualizar: guardar una contraseña encriptada es una medida de seguridad extra (solo extra), y además es bastante sencillo de hacer, así que debe hacerse.
Me refiero a que lo importante es:
- Proteger la comunicación entre cliente y servidor con SSL, ya que de no ser así las contraseñas "viajan" sin encriptar (Lets Encrypt nos lo ha puesto tirado).
- Y sobretodo lo que hay que proteger es la base de datos, con nombres de usuario y contraseñas fuertes, así como impidiendo el acceso desde otros servidores (supongo que habrá más medidas, que no uso).
Lo que quiero decir es que quien piratea una base de datos tiene acceso a todos los datos, dado que no están encriptados, y encontrarse la contraseña encriptada o no le va a dar lo mismo, pues los datos que le interesan ahí los tiene sin encriptar.
La contraseña solo le servirá para acceder a la aplicación web, y si es eso lo que le interesa puede modificarla...
Otro tema sería la forma de encriptarlas... en PHP md5() es inseguro y que recuerde sha1() es lo mejor, y además hacerlo con una clave salt...
Por tanto me reafirmo: la contraseña encriptada no sirve de mucho en caso de hackeo de la base de datos.
Espero que quien opina otra cosa me diga en qué me equivoco y me sepa rebatir de igual manera.
Saludos.
Fernando. Votos: 2 - Link respuesta -
Fecha: 07-03-2019 14:46:14 Compañero Fernando
Todo lo que usted dice tiene mucho sentido Votos: 1 - Link respuesta -
Fecha: 08-03-2019 01:35:07 Creo que todos tienen razón, o su parte de razón, aunque parezcan diversas.
Algunas notas a lo ya expuesto.
"Si las contraseñas pudieran adivinarse o robarse, alguien con tus credenciales podría causar problemas a la institución o a tus recursos digitales. Por ello, la contraseña es de uso personal e individual, no debe ser compartida con otras personas y debe ser mantenida de forma segura."
Obviamente ello puede vulnerarse más allá o por encima de su encriptación.
Recuerda que tu contraseña debe ser: SECRETA, ROBUSTA, NO REPETIDA Y CAMBIADA PERIÓDICAMENTE.
Y esto es responsabilidad principal del Usuario.
Como programador considero más importante pre-ocuparme de que los datos del sistema que yo genere estén seguros y de difícil acceso.
Es en algún modo lo que apunta Ernesto y que es de uso corriente, por ejemplo, en la Banca Online.
Saludos. Votos: 0 - Link respuesta -
Fecha: 08-03-2019 04:42:51 Ocurre que los usuarios suelen usar el mismo password para todo. Si acceden a la base de datos no va a ser para ver balances... Votos: 0 - Link respuesta
-
Fecha: 08-03-2019 22:21:08 Sigo sin entender qué extras de seguridad importantes aporta lo de guardar las contraseñas encriptadas.
Efectivamente, como comenta Txema, forzar al usuario a usar contraseñas robustas es otra medida más eficaz que encriptarlas.
Es responsabilidad nuestra que nos hackeen la base de datos, pero es responsabilidad del usuario que le hackeen su contraseña. Si usa la misma para entrar a este foro que para entrar a su banco, la culpa es suya.
Saludos. Votos: 1 - Link respuesta
Para participar activamente de la comunidad primero debes autenticarte, ingresa al sistema.Iniciar Sesión
