保護DataHogo
Enciclopedia de Seguridad/Mejores Prácticas de Auth
infoCWE-521A07:2021

Sin Indicador de Fuerza de Contraseña

Sin retroalimentación en tiempo real sobre la fortaleza de la contraseña, los usuarios optan por contraseñas débiles que ya conocen — incluso cuando se requiere complejidad.

Cómo Funciona

Los requisitos de contraseña (debe tener mayúsculas, número, símbolo) tienen buenas intenciones pero producen patrones predecibles como 'Contrasena1!'. Un medidor de fortaleza en tiempo real que evalúa la entropía real y advierte sobre patrones comunes guía a los usuarios hacia contraseñas genuinamente fuertes sin ser prescriptivo.

Código Vulnerable
// MAL: reglas de complejidad estáticas producen contraseñas predecibles
<input
  type="password"
  placeholder="Mín 8 chars, 1 mayúscula, 1 número"
  // sin retroalimentación — los usuarios escriben Contrasena1! y siguen
/>
Código Seguro
// BIEN: retroalimentación de fortaleza en tiempo real usando zxcvbn
import zxcvbn from 'zxcvbn';

const { score, feedback } = zxcvbn(passwordValue);
// score 0-4: 0=muy débil, 4=muy fuerte
// feedback.suggestions: ['Agrega otra palabra', 'Evita secuencias']
<BarraFuerzaContrasena score={score} sugerencias={feedback.suggestions} />

Ejemplo Real

Dropbox adoptó zxcvbn y reportó que mejoró significativamente la distribución de fortaleza de contraseñas entre nuevos usuarios. Los estudios muestran que los medidores de fortaleza aumentan la entropía promedio de contraseñas en 1-2 bits por carácter — significativo a escala.

Cómo Prevenirlo

  • Agrega un medidor de fortaleza de contraseña en tiempo real usando zxcvbn o una librería similar basada en entropía
  • Muestra retroalimentación accionable (no solo rojo/verde) — dile a los usuarios por qué la contraseña es débil
  • Requiere al menos un score de 2-3 (de 4) en zxcvbn antes de permitir la creación de cuenta
  • No bloquees a los usuarios de elegir una passphrase larga que tenga score 'débil' en composición de caracteres

Tecnologías Afectadas

javascript

Data Hogo detecta esta vulnerabilidad automáticamente.

Escanea Tu Repo Gratis

Vulnerabilidades Relacionadas

Sin Política de Contraseñas

medium

Aceptar cualquier contraseña — incluyendo '123' o 'a' — hace las cuentas de usuarios trivialmente vulnerables a credential stuffing y ataques de fuerza bruta.

CWE-521A07:2021

Sin Rate Limit en Login

medium

Un endpoint de login sin rate limiting puede ser forzado por fuerza bruta miles de veces por segundo hasta encontrar una contraseña válida.

CWE-307A07:2021

Sin MFA/2FA

low

Sin autenticación multifactor, una contraseña robada o adivinada es todo lo que se necesita para comprometer completamente una cuenta.

CWE-308A07:2021

Sin Verificación de Email

medium

Permitir cuentas con email no verificado deja que atacantes se registren con la dirección de email de otra persona, potencialmente bloqueándolos o suplantándolos.

CWE-358A07:2021