Inseguridad del sistema de contraseñas: Sueños caídos

Hay muchas técnicas

El “Path Traversal” (también conocido como “Directory Traversal”) es un tipo de ataque que

aprovecha una vulnerabilidad dentro de una determinada aplicación (no suficientemente

protegida), para obtener acceso a determinadas rutas en el sistema de archivos, es decir,

carpetas en el disco que, de hecho, no deberían ser accesibles para un usuario no

autorizado. Por ejemplo, digamos que tenemos el árbol de un servidor web Apache y

estamos en el directorio raíz del propio servidor web, en nuestro ejemplo /var/www/html.

En cualquier aplicación web que implique el uso de GET es posible en pocos pasos llegar al

fichero de contraseñas en un sistema Linux, en la práctica entrando en el dir /var/www/html,

tras arrancar el servicio apache2 y renombrar el index.html y sustituirlo por un index.html

malicioso, introduciendo por ejemplo la ruta donde reside el passwd, se conseguiría la

visualización de las contraseñas sin que el usuario se diera cuenta.

Esta es una de las muchas técnicas que pueden utilizarse para encontrar información

relacionada con la identidad de un usuario. Una vez identificado el usuario y la forma de

acceder en su nombre, basta con añadir un código escrito, por ejemplo en php, que puede

guardarse en cualquier dir y ser recuperado desde una página web. El código malicioso

podría estudiar el sistema, acumular información relacionada con el acceso a otras rutas

donde reside otra información y en poco tiempo el usuario quedaría al descubierto en

absoluto silencio. Pero, ¿cómo podemos protegernos? ¿Cómo podemos prevenir los

ataques del tipo Path Trasversal? Puedes evitar sufrir estos ataques evitando transmitir

datos de entrada a las APIs del sistema de archivos. Por lo tanto, la aplicación valida la

entrada del usuario de una manera completamente diferente a la del pasado, empleando

una metodología que no requiere la entrada basada en el nombre de usuario y la

contraseña, sino sólo a través de la acreditación biométrica. My-ID ( https://bit.ly/My-

ID_la_chiave_sei_tu) podría ser una respuesta a este tipo de ataques.

El sistema implica el uso de un reconocimiento biométrico multifactorial ( un SSO) en el que

no es necesaria una contraseña, un pin, un token ( https://bit.ly/My-ID_passwordless): la

fórmula para acceder al sistema implica el reconocimiento de múltiples factores biométricos

( https://bit.ly/My-IDCheckIdentity). Por lo tanto, My-ID es un método innovador de acceso a

los sistemas que no implica teclear información ( https://bit.ly/My-ID_Biometric_Login), una

plataforma aplicable a los sistemas informáticos para prevenir la suplantación de identidad.

COMPARTIR

Share on linkedin
Share on whatsapp
Share on facebook
Share on twitter
Share on email