Después de haber leido el artículo de Enfeeble me he preocupado bastante porque hace un par de semanas que me conseguí uno. Pensé "Estupendo, encima de lo aburrido que es usar el trasto este, ahora va y tiene fallos de seguridad..."
El caso es que he grabado al cacharrín generando los códigos para comprobar lo que tarda en generar un nuevo código después de haber presentado otro y esto es lo que he obtenido:
Como podéis ver, en unos 15-20 segundos se desecha el código ya presentado y se genera uno nuevo, por lo que, a primera vista, la vulnerabilidad no parece ser tan crítica (están hablando por ahí de entre 1 y 5 minutos). Sin embargo, si se pulsa el botón nada más desaparecer el código vuelve a salir el mismo, por lo que "vive" unos 10 segundos más. No lo he probado, pero supongo que esto se podrá hacer "ad infinitum". En cualquier caso, todo esto no implica que el número generado no siga siendo válido a pesar de haber desaparecido de la pantallita.
De todos modos, se habla de que la vulnerabilidad radica en la posibilidad de que el usuario introduzca mal la password y bien el código. Este evento no puede ocurrir, ya que el código se pide después de introducir correctamente la password. Es decir, si metes mal la password no te llega a pedir el código en nigún caso y si metes bien la password y metes un código, se usa en ese momento y se invalida para posteriores intentos de login.
No se pueden sacar muchas conclusiones del caso de hackeo del que hablan en WoW Insider. Dan muy poca información y poco contrastada. Solo puede ocurrir algo así si el hacker tiene acceso físico al Autenticador, al PC de la víctima o a la red de la víctima. Si tienes acceso al Autenticador es pan comido, si tienes acceso al PC puedes intentar robarle la sesión web y si tienes acceso a la red puedes usar la técnica de man-in-the-middle para capturar la sesión directamente o recibir la información necesaria como para robársela igualmente. Un sistema de seguridad es tan sólido como el más débil de sus eslabones, y no olvidéis que el factor humano en estos casos suele ser devastador.
Conclusión: Tranquilidad. Si estáis pensando en compraros un cacharrín, las únicas pegas que yo le encuentro son:
- Coñazo. Es un rollo andar buscando el cacharro para entrar al juego o a la web de gestión de cuentas y no lo encuentro muy cómodo. Llamadme tiquis-miquis, pero yo habría puesto el enganche para el llavero al otro lado...
- Si se le gastan las pilas no se pueden cambiar sin abrirlo en canal. Osea, que cuando se le gasten las pilas no podré entrar a la web para desvincularlo de mi cuenta porque lo necesito para entrar. Osea, que tendré que contactar con customer care para ver que hago... Ya os contaré cuando me suceda esto :)
Entradas relacionadas:
- Comentarios (8)
- | (Regístrate o entra para añadir un comentario)
Para escribir un comentario debes estar registrado. Registrate aquí
Además, si tienes asociado a tu cuenta más de un personaje puedes elegir con cual firmar tu comentario.
¡Recuerda elegir el personaje adecuado para la temática de la entrada que quieras comentar!
* Se admiten las etiquetas HTML <p>, <i>, <u> y <b> en el cuerpo del comentario.
Regístrate o entra para añadir un comentario
80
Por cierto, disculpas por el desenfoque :P
Usuario: Tragamilas
vaia vaia, la mejor herramienta para que no te pillaran el usuario en wow, alfinal resulta ser la peor, aun suerte que ni me lo compre, porque la verdad este tipo de cosas no me gustan la verdad, bueno avr que pasara alfinal y sobre lo que cuando se apague la pila ya no puedes desvincularlo de tu cuenta, eso yo lo savia de ante mano yo antes de comprarme ta producto me informo de estas cosas.
Precio, duracion de la bateria o que pilas lleva, si es 100% fiable y solucionar el problema de poder desvincular el aparato de mi cuenta cuando quiera.
Todo esto lo remuevo y me paro 5 minutos ha pensarlo aver si me lo compro o retifico y, ya esta
Usuario: Arislan
He escrito un nuevo artículo al respecto con un video donde se pide el código del cacharro éste cuando metes pass erronea.
No añadiré nada más al respecto ya que me parece un mecanismo seguro para proteger las cuentas del wow y sólo he escrito estos dos artículos por si acaso.
¡Un saludo!
70
Vaya, el queco de arriba soy yo.
Tragamillas, no estoy de acuerdo con lo que comentas de que sea el peor mecanismo. Simplemente hay un teórico fallito que se podría dar cuando ocurren 3 o 4 casualidades y que además es fácilmente subsanable.
Usuario: Tragamilas
ok vale, pero los creadores de este aparato tendrian que averlo echo ha prueba de bombas, porque la cuenta de wow es algo serio y mas para aquellos que tienen su cuenta vinculada ha una cuenta corriente del banco, por eso lo comento lod e arriba.