Los contactos de tus contactos son mis contactos
Joder con la modita de pedir las credenciales de GMail/HotMail/Yahoo cuando la gente se registra en otra web. El tema vuele a salir en Coding Horror: Please Give Us Your Email Password. Y es que la gente se está acostumbrando a dar las llaves de su casa a cualquiera que se las pide…
La cuenta de correo principal es algo crítico. Quien tenga acceso a ella puede pasarse por cualquiera de las otras webs que utilizas, darle a recordar contraseña y esperar a que le llueva del cielo (eso sin contar con que no estés directamemente usado la misma).
Ten en cuenta que cuando le das tu contraseña a un tercero:
1) Se la das también a sus *empleados*. ¿Te fías de todos ellos?
2) Si hackean la web del tercero ya tienen acceso a tu cuenta
3) Seguramente la estén almacenando en texto plano y ya hemos dicho que eso es malo.
Pero no solo eso. Es que quien da acceso a su cuenta de correo está exponiendo a todo el spam del mundo a sus contactos:
Meanwhile, having gained access to your email account, it logs and
sends emails tospams everyone in your address book. Presumably it will then sell every address it finds to spammers.
Sacado de Hello, Mr Website. Would you like my password?
Como programadores es una irresponsabilidad pedirle la contraseña de otro servicio a nuestros usuarios. Y como usuarios darla es lo mismo que darle las llaves de tu casa a quien te las pida.
NO DES NUNCA TUS CONTRASEÑAS. NUNCA, NUNCA, NUNCA. Ni Facebook, ni Linkedin ni a nadie por pinta de honorable que tenga.
Y alguno se tiene que estar tirando de los pelos después de pasarse años concienciando a la gente sobre contraseñas seguras para que después de conseguir que pongan una le regalen su flor al primero que se la pide…
Social engineering will never be solved.
June 9th, 2008 at 3:37 pm
está claro que acostumbrar a los usuarios a que den su contraseña de correo a un tercero es algo que tenemos que evitar, lo veo como una responsabilidad casi “ética” de los que trabajamos en este sector, no debemos aconsejar este tipo de prácticas a nuestros clientes porque finalmente es algo que va en contra de los usuarios.
ahora, también creo que a la hora de incorporarte a una red social, la posibilidad de chequear de algún modo si alguien de tu agenda de contactos es ya usuario es algo tremendamente cómodo y útil para el usuario, al menos hasta que no se desarrolle un sistema mejor (google social?) que evite que tengamos que ir construyendo de cero nuestra red de contactos cada vez que ingresemos en una nueva comunidad.
hasta que esto no ocurra, creo que es preferible no utilizar este sistema.