Ten cuidado si guardas las contraseñas de tus sesiones con WinSCP...

Afortunadamante poco a poco se está sustituyendo el uso de FTP por SCP o SFTP sobre SSH-1 y SSH-2 para la transferencia de ficheros en Internet. 

Quizás unos de los clientes más utilizados bajo Windows es WinSCP. Esta herramienta te permite almacenar sesiones y también guardar sus respectivas contraseñas, algo en principio no recomendable:


Por defecto, WinSCP realiza una serie de sencillas operaciones bit a bit usando el nombre de usuario concatenado con el nombre de máquina y almacena la contraseña cifrada en la cadena del registro "HKEY_Current_User\Software\Martin Prikryl\WinSCP 2\Sessions" o en un fichero INI localizado en el mismo path del ejecutable del programa:

 
[Sessions\usuario@ftp.pruebas.cz]
HostName=ftp.pruebas.cz
UserName=usuario
FSProtocol=2
Password=B22F7258DC45B2991A080D15191F150B1A6C6F2F3A282C7235393F35712F392C2A353F35332B123F22310839312C332E3D302D6E6B

Revertir las funciones y obtener la contraseña en claro es trivial y, como WinSCP además es de código abierto y se pueden encontrar las funciones correspondientes (Security.cpp), existen ya varias herramientas como winscppwd, astlog y hasta un módulo de Metasploit. Incluso podréis usar en línea http://codedementia.com/WinSCP/index.php aunque yo nunca recomiendo introducir contraseñas reales en este tipo de portales.

¿La solución? Activar la opción de usar una Contraseña maestra para que las contraseñas se cifren mediante AES256:


2 comentarios :

  1. Nunca se me hubiera ocurrido mirarlo.
    Gracias por esta entrada!

    ResponderEliminar
  2. Aún mejor es utilizar Auto FTP Manager. Es uno de los programas mejor FTP seguro cliente. Todos los protocolos de transferencia seguras son compatibles, FTPS y SFTP. La interfaz limpia es muy fácil de usar. Se llevará a cabo sus transferir archivos de forma rápida y eficiente. También es compatible con FXP para el servidor súper rápido a las transferencias de servidor. Es perfecto para las copias de seguridad o servidores de sincronización.

    ResponderEliminar