Autenticación básica HTTP
La autenticación básica por HTTP es un método antiguo para verificar la identidad de un usuario en un sitio web. Aunque hoy existen sistemas más seguros, todavía se encuentra en algunas aplicaciones debido a que es simple de implementar y funciona sin configuraciones complejas.
Sin embargo, esta simplicidad tiene un coste importante: no ofrece una protección adecuada frente a ataques modernos, lo que la convierte en una opción insegura para proteger información sensible.
En la autenticación básica HTTP, el proceso funciona así:
El usuario introduce su nombre de usuario y contraseña.
El navegador los une en un solo texto con el formato
usuario:contraseña.Ese texto se codifica en Base64, que es solo una forma de representar datos en texto, no un cifrado.
El navegador guarda ese valor y lo envía automáticamente en cada solicitud HTTP al servidor mediante el encabezado:
1
Authorization: Basic base64(usuario:contraseña)
Problemas de seguridad principales
Las credenciales se envían repetidamente
En cada petición al servidor se envían el usuario y la contraseña. Si un atacante intercepta una sola solicitud, obtiene las credenciales completas.Riesgo de ataques de intermediario (Man-in-the-Middle) Si el sitio no usa correctamente HTTPS con mecanismos como HSTS (una política que obliga al navegador a usar conexiones cifradas), un atacante que controle la red puede capturar fácilmente las credenciales.
Base64 no es protección real
Base64 no cifra la información; cualquiera puede decodificarla y ver el usuario y la contraseña en texto claro.Sin protección contra fuerza bruta
Como el token siempre contiene los mismos datos estáticos, un atacante puede probar combinaciones de usuario y contraseña sin encontrar bloqueos o limitaciones adecuadas.Vulnerable a ataques de sesión, especialmente CSRF
CSRF (Cross-Site Request Forgery) es un ataque en el que el navegador del usuario realiza acciones sin su consentimiento. La autenticación básica HTTP no incluye mecanismos propios para prevenir este tipo de ataques.