El inicio de sesión en un servidor HTTP es muy peligroso dada la amplia variedad de ataques que pueden ser efectuados en este para obtener la contraseña del usuario. Los intrusos roban credenciales de usuario directamente por la red (sniffing), o modifican la página mostrada en tránsito para permitir una gran cantidad de ataques. Este artículo detalla los mecanismos que Firefox ha puesto en práctica para advertir a los usuarios y desarrolladores de los riesgos relacionados con las contraseñas inseguras y el robo de contraseñas.

El protocolo HTTPS está diseñado para proteger los datos del usuario de interferencias (violación de confidencialidad) y de modificaciones (violación de integridad) en la red. Los sitios Web que administran datos privados de usuarios deberían usar HTTPS para protegerlos de los hackers. Sin este protocolo, es bastante fácil robar información del usuario (como las credenciales de inicio de sesión). Esto fue demostrado por Firesheep.

Para solucionar este problema, se dbe instalar y configurar un certificado SSL/TLS en el servidor. Existen diversos proveedores que ofrecen certificados tanto gratuitos como de pago. Si se usa una plataforma en la nube, debe disponer de sus propios mecanismos para habilitar el HTTPS.

Indicadores de seguridad de la contraseña de Firefox

Para informar de la amenaza descrita anteriormente, Firefox implementa varios mecanismos de advertencia:

  1. Firefox 51+ mostrará el icono de un candado con una línea roja atravesándolo en diagonal en la barra de direcciones cuando una página de inicio de sesión no posea una conexión segura, como se muestra a continuación.

    Icono de candado

  2. Firefox 52+ mostrará una advertencia clara en la barra de direcciones y debajo del campo de contraseña seleccionado en cualquier formulario inseguro:

    Advertencia

  3. Firefox 52+ también ha desabilitado el relleno automático en formularios de inicio de sesión inseguros. Los usuarios todavía pueden autocompletar manualmente inicios de sesión almacenados desde el desplegable.

  4. Las advertencias acerca de los formularios de inicio de sesión inseguros también pueden verse en el panel de seguridad de la consola de desarrolo en todas las versiones, tal y como se describe en la siguiente sección.

Mensajes de consola web

Esta sección describe los mensajes dde seguridad mostrados en la consola de desarrollo de las Herramientas de desarrollo de Firefox, en respuesta a las contraseñas inseguras.

Proporcionar un formulario de inicio de sesión a través de HTTP

Aún si la acción del formulario es una URL HTTPS, el formulario de inicio de sesión no está protegido porque un atacante puede modificar la pagina recibida por el usuario (por ejemplo, los atacantes pueden modificar el destino de un formulario para enviar la información sensible a un servidor del que tengan el control, o pueden insertar un script que registre las teclas presionadas (keylogging script) para robar las contraseñas tecleadas). La pestaña de seguridad de la Consola Web avisará tanto a los desarrolladores como a los usuarios del problema de seguridad:

Formulario de inicio de sesión inseguro mostrado en la Consola Web y advertencia contextual mostrando aviso en el campo contraseña.

Nota: Tampoco es seguro embeber una página de inicio de sesión HTTPS en un documento HTTP — un atacante podría cambiar la URL del marco de manera que apuntase a un sitio malicioso.

Usando una URL HTTP en la acción del formulario

En este caso, cualquier información que el usuario ingresa es enviada a través de la red en formato de texto plano (sin cifrar). La contraseña del usuario es claramente visible para cualquiera que esté husmeando la red, desde el momento en que la contraseña deja el equipo del usuario hasta que llega a los servidores del sitio web.

Formulario de inicio de sesión inseguro mostrado en la Consola Web y advertencia contextual mostrando aviso en el campo contraseña.

Nota acerca de la reutilización de contraseñas

A veces, los sitios web requieren de un nombre de usuario y contraseñas, pero normalmente no almacenan datos que son muy sensibles. Por ejemplo, un sitio de noticias puede guardar qué artículos de noticias un usuario desea volver a leer, pero no guarda ningún otro dato sobre él. Los desarrolladores Web del sitio de noticias pueden estar menos motivados para asegurar su sitio web y sus credenciales de usuario.

Desafortunadamente, la reutilización de contraseñas es un gran problema. Los usuarios utilizan la misma contraseña en varios sitios (sitios de noticias, redes sociales, proveedores de correo, bancos).  Por lo tanto, incluso si el acceso al nombre de usuario y la contraseña a su sitio no le parece un gran riesgo, es un gran riesgo para los usuarios que han usado el mismo nombre de usuario y la misma contraseña para iniciar sesión en sus cuentas bancarias. Los atacantes son cada vez más astutos; roban tanto el nombre de usuario como la contraseña desde un sitio, y luego intentan usarlos en sitios más lucrativos.

Vea también

Etiquetas y colaboradores del documento

Colaboradores en esta página: JustTestingGo, Numiansus, fdemian, dnekox, cocoDog
Última actualización por: JustTestingGo,