Un grupo de investigadores de la Universidad de Bonn
descubrió que a los estudiantes de ciencias
de la computación se les debe pedir explícitamente que empleen importantes
medidas de seguridad de contraseñas. Esta investigación llevada
a cabo por los académicos alemanes encontró que sin necesidad de avisos, los
programadores no sintieron la necesidad de almacenar las contraseñas de forma segura.
Programadores perezosos
Los programadores que participaron en la investigación fueron contratados en Freelancer.com. Los investigadores pidieron a 260 programadores de Java que crearan un sistema de registro de usuarios para una red social falsa. De los 260, solo 43 aceptaron el puesto.
Para el estudio, los programadores se dividieron en
dos grupos: a la mitad se le pagó 100 €; La otra mitad se le pagó 200
€. Esto se hizo para ver si una mayor remuneración hacía alguna diferencia
en la implementación de la seguridad de las contraseñas.
Estos grupos se dividieron en dos partes y a un
grupo no se le dieron instrucciones sobre el almacenamiento de la seguridad de las contraseñas.
Sorprendentemente, de un total de 43, 18
programadores almacenaron las contraseñas en texto plano y se les pidió que volvieran a
enviar su código. De los 18, 15 codificadores pertenecían al grupo que no
recibió ninguna instrucción con respecto a las contraseñas.
El estudio también encontró que los programadores a
menudo utilizaban el cifrado y el hash como sinónimos, y copiaron el código de Internet para desarrollar un sistema seguro desde
cero.
Este resultado muestra que la seguridad de las contraseñas no es una preocupación principal de los programadores cuando
trabajan en un proyecto. Vale la pena señalar que este estudio es una
continuación de un par de estudios anteriores realizados con estudiantes como
sujetos y que los profesionales no parecen ser mejores.
¿Qué opinas de los resultados de este estudio? Hazme
el favor de compartir el post en las rede sociales.
Como programador te diré que me pagan por darles lo que me piden, si quieren algo se los doy, si veo que puedo mejorar algo, lo digo y si estos (empleador) decide usar mi idea o seguir con lo pedido por ellos, es cosa de ellos, pero no haces lo que quieras sin consultar o sin que fuera pedido. Si durante el estudio no se les dio el pedido de cifrado de contraseñas como parte del programa o jamas tuvieron reuniones en las cuales expresar dudas y demás con el empleador en las que pudiera salir el cifrado de contraseña como una mejora en la seguridad pedida en el contrato , no pidan que hagan mas de lo escrito en el papel. Puede resultar en quejas, fallos , despidos y rehusar a pagarnos.
ResponderBorrarEntiendo tu punto. Empero, creo que como programador se deben implementar medidas mínimas de seguridad aunque no lo soliciten dado que muchas veces los empleadores desconocen aspectos técnicos, o al menos preguntarles si lo desean. ¡Saludos!
BorrarCreo que es el mínimo de seguridad que se debería implementar teniendo en cuenta que muchas personas utilizan la misma contraseñas para otras aplicaciones o webs. Teniendo en cuenta este escenario el hecho de que las claves se almacenen encriptadas te libera de responsabilidad en el caso de que alguno de los usuarios haya tenido una brecha de seguridad, dado que ni siquiera tu puedes ver las contraseñas. Agregar un par de líneas para encriptar te puede ahorrar dolores de cabeza. Saludos.
ResponderBorrarExcelente punto de vista, concuerdo contigo. ¡Saludos cordiales!
Borrar