La normativa española prohibe expresamente que se almacenen las contraseñas en texto plano bajo pena de multa de entre 40.000 y 300.000 euros, de forma que no es solo una “sugerencia de seguridad”. El Reglamento de desarrollo de la Ley Orgánica de Protección de Datos indica que las contraseñas, mientras estén vigentes, se almacenarán de forma “ininteligible”. El último ataque a Sony demuestra que allí no lo estarían haciendo así. Relacionada: Hackean Sony de nuevo y obtienen más de 1.000.000 de passwords [ENG]
Comentarios
Entonces escribirla en un Post-it y pegarla en el monitor debe estar penado con la muerte, ¿no?
#1 En el Post-it no podrían haberlas hackeado de esa forma
Si es cierto que Sony guarda las contraseñas en texto plano es para matarlos.
#1 Hay que poner en el Post-It "Contraseña: 0123456789". Es para dejar claro que no es un número de teléfono.
Entiendo que esto sólo se aplica a ficheros y bases de datos donde se recaben datos personales, no a cualquier tipo de contraseña.
#5 así es, lo que pasa es que normalmente las contraseñas sirven para acceder a algún tipo de dato personal, como por ejemplo una dirección de correo electrónico... ahora mismo no encuentro ningún ejemplo de contraseña que no sirva para acceder a algún tipo de dato personal...
Vamos a ser serios. Primero, si la contraseña se almacena en la base de datos y el atacante ha tenido acceso a la misma, la contraseña NO está guardando ningún dato personal ya que el atacante YA ha accedido a todos los datos personales sin necesidad de contraseña. Segundo, en ese mismo artículo 93.4 dice "periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas", es decir, que AL MENOS una vez cada cuatro años cualquier aplicación a la que pueda afectar la jurisdicción española debería pedir a los usuarios que cambien la contraseña. ¿Os ha pedido alguna aplicación que cambiéis la contraseña por seguridad en el último año? ¿Nos ponemos a denunciar?
Pero esos servidores estaban en territorio español?