Pidgin almacena las contraseñas en texto plano

Si eres de los que usan Pidgin como cliente de mensajería, y más aún, si eres de los que deja guardadas las contraseñas de sus cuentas en este programa, debes saber que éstas son almacenadas sin ninguna seguridad en un fichero de texto plano.

Concretamente, puedes encontrar el fichero donde Pidgin almacena toda la información de las cuentas, incluidas las contraseñas, en /home/david/.purple/accounts.xml

¿Un fallo de seguridad? Ésto no es nada nuevo, y la gente de Pidgin lo explica así:

«La mensajería instantánea no es muy segura, y no tiene sentido perder mucho tiempo agregando protecciones a las fuertes protecciones de ficheros de UNIX (nuestra plataforma nativa) cuando los protocolos no son tan seguros. La forma de saber realmente con quién estás hablando es usar un plugin de encriptación en ambos extremos (como OTR o pidgin-encryption), y usar llaves GPG verificadas. En segundo lugar, no debes utilizar tu contraseña de mensajería instantánea para nada más. Mientras algunos protocolos tienen una seguridad de contraseñas decente, otros la tienen insuficiente, y algunos (como IRC) no la tienen de ningún tipo.«

Personalmente, creo que ésto no es motivo para dejar las contraseñas al alcance de cualquiera como texto plano. Y cuando menos, es importante conocer la situación, y que cada uno decida qué hacer al respecto con su seguridad.

Referencias: hacking-avanzado.blogspot.com