Password Structure

• Categoría:

• Authentication

• Referencia:

• OWASPAUTHN-009

Descripcion:

Esta prueba evalúa si las políticas de contraseñas de la aplicación obligan a los usuarios a crear contraseñas seguras y complejas. Esto incluye requisitos de longitud mínima, uso de caracteres especiales, números y combinaciones de mayúsculas y minúsculas.

Herramientas recomendadas:

• Burp Suite

Recomendaciones para realizar la prueba:

Los atacantes suelen emplear herramientas automáticas para realizar ataques de fuerza bruta o de diccionario. Estas herramientas prueban combinaciones comunes o listas de contraseñas filtradas hasta encontrar una que permita acceder a la cuenta de un usuario. Las contraseñas simples o reutilizadas son especialmente vulnerables a estos métodos. Se recomienda configurar Burp Suite para interceptar las solicitudes de registro o cambio de contraseña. Introducir contraseñas inseguras o que no cumplan con los requisitos para probar las validaciones de la aplicación y observa las respuestas del servidor para confirmar si se aplican las restricciones necesarias.

Implementa una política de contraseñas que exija una longitud mínima y el uso de una combinación de caracteres especiales, números y letras mayúsculas y minúsculas. Además, utiliza técnicas como el hashing seguro (por ejemplo, con bcrypt) para almacenar contraseñas en el servidor. Considera habilitar la autenticación multifactor (MFA) y una funcionalidad que bloquee cuentas tras varios intentos fallidos. Educa a los usuarios sobre la importancia de no reutilizar contraseñas.