Author

Topic: Cuidado con dónde os registráis (os cogen la contraseña) (Read 1232 times)

newbie
Activity: 14
Merit: 0
Así es
legendary
Activity: 1974
Merit: 1030
habrá que tener cuidado, con los registros, la verdad es que a veces nos volvemos muy confiados

Qué! Resucitando hilos antiguos para llegar a 10 posts? Tongue
newbie
Activity: 14
Merit: 0
habrá que tener cuidado, con los registros, la verdad es que a veces nos volvemos muy confiados
legendary
Activity: 1190
Merit: 1001
Por cierto, hablando de PGP:

¿Se puede firmar un mensaje con la dirección de Bitcoin que aparece en la firma del usuario anterior y así demostraros que soy yo sin tener que gastar dinero? ¿Podría esa acción poner en peligro mi dinero si pego aquí el resultado final?

Si, precisamente para eso sirve firmar con una dirección, para demostrar que tu eres el dueño de ella pero sin correr ningún tipo de riesgo.
newbie
Activity: 10
Merit: 0
Pues eso, que mucho cuidado con dónde os registráis, que no se si me han cogido la contraseña.

Me ha llegado un correo electrónico diciéndome que se ha eliminado un mensaje con este contenido:

Quote
"Quote
This is a test. Square. Circle. Triangle."

Mi consejo es que si os registráis en foros "raros", uséis contraseñas diferentes a la de este foro.
Apuntadlas en un papel si es necesario. No os preocupéis por eso, porque mientras no estén a la vista de la webcam o os entren en casa no hay ningún problema en ello.

Y si el otro usuario "Anillos" escribe mensajes raros... pues bueno, habría que anular esa cuenta o bien "hacer algo" para devolverla.

Utilizar contraseñas distintas es algo básico en seguridad. Si no, basta con un pequeño error en alguno de los sitios donde nos hemos registrado (por ejemplo, que no tengan las contraseñas cifradas y no hayan parcheado agujeros de seguridad que permitan acceder a las BBDD) para que empiecen a entrar. Conozco casos en los que a través de estos datos accedieron a la cuenta de e-mail y posteriormente a otros servicios a partir de éste...

Nunca se va con suficiente cuidado
legendary
Activity: 1974
Merit: 1030
Por cierto, hablando de PGP:

¿Se puede firmar un mensaje con la dirección de Bitcoin que aparece en la firma del usuario anterior y así demostraros que soy yo sin tener que gastar dinero? ¿Podría esa acción poner en peligro mi dinero si pego aquí el resultado final?

Puedes firmar mensajes con cualquiera de tus claves privadas, no con las claves privadas ajenas por supuesto! Pero esto no tiene que ver con PGP, es una firma que haces con el cliente de bitcoin. Mírate los comandos rpc signmessage y verifymessage.
legendary
Activity: 1820
Merit: 1017
Por cierto, hablando de PGP:

¿Se puede firmar un mensaje con la dirección de Bitcoin que aparece en la firma del usuario anterior y así demostraros que soy yo sin tener que gastar dinero? ¿Podría esa acción poner en peligro mi dinero si pego aquí el resultado final?

Ah vale, no acababa de comprender el sentido de la anterior frase, ahora sí:

¿Se puede firmar un mensaje con la dirección de Bitcoin que aparece en la firma de mi usuario anterior y así demostraros que soy yo sin tener que gastar dinero? ¿Podría esa acción poner en peligro mi dinero si pego aquí el resultado final?

Por supuesto, no hay riesgo. Ahora bien, el que tiene el control de la anterior cuenta también puede modificar la firma que aparece en el antiguo usuario, claro está. Deberías tener alguna captura de pantalla, o hacer con una copia antigua de alguno de los mensajes a través de algún servicio de caché para demostrar que controlas la dirección de las antiguas firmas de tu usuario robado.
legendary
Activity: 1260
Merit: 1003
Por cierto, hablando de PGP:

¿Se puede firmar un mensaje con la dirección de Bitcoin que aparece en la firma del usuario anterior y así demostraros que soy yo sin tener que gastar dinero? ¿Podría esa acción poner en peligro mi dinero si pego aquí el resultado final?
legendary
Activity: 1820
Merit: 1017
Ese error permaneció latente dos o tres años hasta que salió a la luz. Tongue
legendary
Activity: 1260
Merit: 1003
Yo usé PGP una vez y menudo jaleo... y encima lo hice con una versión de Debian que tenía un error grave en la generación de números aleatorios. Cheesy
legendary
Activity: 1190
Merit: 1001
Hay que ser muy cuidadoso con las contraseñas. Jamás hay que repetir contraseñas en diferentes servicios en los que nos hayamos dado de alta.

Imaginad que alguien con una elevada reputación cometiese el error de darse de alta con la misma contraseña que la de bitcointalk en un servicio no confiable...sería una catástrofe. El administrador del servicio no confiable o cualquier hacker podrían robar la base de datos y probar la contraseña y el nombre de usuario aquí.

Una vez usurpada la identidad del forero tendrían acceso a todos los mensajes privados que tuviese y en ellos podrían encontrar compra/ventas con otros usuarios del foro. Si el forero cuya identidad ha sido suplantada tuviese una buena reputación pueden volver a contactar mediante mensaje privado con otros foreros que hubiesen sido clientes anteriormente y estafarlos impunemente.

Para cuando todo se hubiese destapado, los suplantadores podrían haber hecho un buen botín.

Pero no es la única posibilidad de fraude que veo posible. Imaginad que el auténtico propietario de la cuenta utiliza el argumento de que "le han robado la identidad en el foro" para estafar a otros foreros con los que hubiese mantenido relaciones comerciales anteriormente. ¡Si lo hace a través de TOR sería imposible de rebatir! Imaginad que alguien se construyese una buena reputación sólo con el objetivo de estafar posteriormente a sus confiados clientes y después una simple excusa del tipo: "alguien me robó la identidad después de que repitiese mi contraseña del foro al darme de alta en SatoshiDice" le sirviese para verse completamente liberado de culpa.

Por eso imploro a todos que, cuando se trate de conversaciones sensibles como acuerdos de compra/venta, contactos para solicitar precios, envío de datos bancarios e información sensible en general, lo hagáis firmando con PGP y, a ser posible, cifrando.

De este modo será mucho más difícil el sufrir este tipo de fraudes.

El problema es que el usuario medio no utiliza PGP (y en España ya ni te cuento), si sólo admites compras/ventas mediante este sistema de identificación perderías muchos clientes.
legendary
Activity: 1260
Merit: 1003
Si tienes razón, pero hace falta también que los administradores se impliquen algo, como mínimo, implementando algunas medidas de seguridad, como que no se pueda cambiar el correo sin una confirmación desde ese correo.

En este caso no se si habrán conseguido estafar a alguien, pero desde luego que lo han intentado, y ahí sigue la cuenta...
hero member
Activity: 597
Merit: 500
Hay que ser muy cuidadoso con las contraseñas. Jamás hay que repetir contraseñas en diferentes servicios en los que nos hayamos dado de alta.

Imaginad que alguien con una elevada reputación cometiese el error de darse de alta con la misma contraseña que la de bitcointalk en un servicio no confiable...sería una catástrofe. El administrador del servicio no confiable o cualquier hacker podrían robar la base de datos y probar la contraseña y el nombre de usuario aquí.

Una vez usurpada la identidad del forero tendrían acceso a todos los mensajes privados que tuviese y en ellos podrían encontrar compra/ventas con otros usuarios del foro. Si el forero cuya identidad ha sido suplantada tuviese una buena reputación pueden volver a contactar mediante mensaje privado con otros foreros que hubiesen sido clientes anteriormente y estafarlos impunemente.

Para cuando todo se hubiese destapado, los suplantadores podrían haber hecho un buen botín.

Pero no es la única posibilidad de fraude que veo posible. Imaginad que el auténtico propietario de la cuenta utiliza el argumento de que "le han robado la identidad en el foro" para estafar a otros foreros con los que hubiese mantenido relaciones comerciales anteriormente. ¡Si lo hace a través de TOR sería imposible de rebatir! Imaginad que alguien se construyese una buena reputación sólo con el objetivo de estafar posteriormente a sus confiados clientes y después una simple excusa del tipo: "alguien me robó la identidad después de que repitiese mi contraseña del foro al darme de alta en SatoshiDice" le sirviese para verse completamente liberado de culpa.

Por eso imploro a todos que, cuando se trate de conversaciones sensibles como acuerdos de compra/venta, contactos para solicitar precios, envío de datos bancarios e información sensible en general, lo hagáis firmando con PGP y, a ser posible, cifrando.

De este modo será mucho más difícil el sufrir este tipo de fraudes.
legendary
Activity: 1260
Merit: 1003
Y aquí tenéis el resultado, ese ladrón de cuentas está intentando estafar a la gente:

https://bitcointalksearch.org/topic/buying-7-btcday-maximum-with-wells-fargo-bank-transfer-292123

Deberían implementar nuevas medidas de seguridad en el foro para que no vuelva a pasar.
legendary
Activity: 1260
Merit: 1003
He hecho una prueba de correo electrónico, y en la cuenta que tenía asignada no ha pasado nada.

He enviado un mensaje personal a esa cuenta de correo electrónico, y estaba configurada para notificarse, y no se notifica, con lo que es muy posible que esa cuenta ahora tenga un correo electrónico diferente, además de otra contraseña.

En mi opinión, una medida de seguridad es que sólo se pudiera cambiar la contraseña a través de un enlace secreto (o código) enviado al correo electrónico. Si no hay código, no se acepta el cambio de contraseña. Por otro lado, sería interesante poder configurar dos cuentas de correo electrónico, por si ocurre lo de Terra, que cerró el servicio de correo electrónico.
legendary
Activity: 1260
Merit: 1003
Pues eso, que mucho cuidado con dónde os registráis, que no se si me han cogido la contraseña.

Me ha llegado un correo electrónico diciéndome que se ha eliminado un mensaje con este contenido:

Quote
"Quote
This is a test. Square. Circle. Triangle."

Mi consejo es que si os registráis en foros "raros", uséis contraseñas diferentes a la de este foro.
Apuntadlas en un papel si es necesario. No os preocupéis por eso, porque mientras no estén a la vista de la webcam o os entren en casa no hay ningún problema en ello.

Y si el otro usuario "Anillos" escribe mensajes raros... pues bueno, habría que anular esa cuenta o bien "hacer algo" para devolverla.
Jump to: