-
añadir a favoritos
Dos horas para hackear la contraseña
jueves 14 de marzo de 2019
Otra vez vamos a hablar sobre filtraciones, este tema muy popular.
Un ciberdelincuente con alias Gnosticplayers decidió vender en darknet otro conjunto de datos robados, ya el tercero. Esta vez ofrece los datos de los usuarios de GfyCat, Legendas.tv, Jobandtalent, Onebip, StoryBird, StreetEasy, ClassPass y Pizap. Cabe destacar que ninguna de las plataformas mencionadas había informado sobre la filtración de datos.
¿Vd. puede afirmar con seguridad que sus datos no habían sido filtrados en la Red? “Ninguna de las plataformas mencionadas había informado sobre la filtración de datos”. Pero vamos a hablar de otra cosa.
Constantemente recomendamos cambiar las contraseñas, pero entendemos perfectamente que la gente tiene pereza para hacerlo. Una de las opciones extra es, en caso de aparecer la información sobre las filtraciones, averiguar si sus datos están en la base filtrada. Pero no cada usuario puede hacerlo: constantemente hay filtraciones, y supervisarlas constantemente, descargar las bases desde las direcciones sospechosas y entender de varios formatos de almacenamiento de datos no es fácil …
Pero existe otra opción. Hay recursos que permiten comprobar si su dirección está en las bases filtradas.
¡Atención! Ya hemos informado, que la búsqueda en recursos similares es igual al juego de ruleta rusa: al introducir los datos, Vd. no puede comprobar si esta información la reciben los delincuentes o no.
Los delincuentes crearon un clon del servicio Have I been pwned y cobraban bitcoins por contraseñas comprometidas.
Al igual que en Have I Been Pwned original, a los usuarios se les ofrece introducir la dirección del correo electrónico que los mismos desean comprobar para ver si hay filtraciones. El problema es que luego el servicio entrega las contraseñas de las cuentas comprometidas no cifradas y demanda al usuario $10 en criptomoneda para ocultarlas.
Uno de los servicios más populares para comprobar las contraseñas filtradas es haveibeenpwned.com. A propósito: «Según el autor del desarrollo, el mismo no deja de sorprenderse de que hay gente que empieza a comprobar sus contraseñas actuales en un servicio de terceros a pesar de una notificación que no lo recomienda».
Se puede comprobar los datos manualmente, al introducirlos en la ventana de solicitud o a través de API.
A través de API está disponible el método de comprobación más sofisticado donde como clave se ua el prefijo del hash de la contraseña, en respuesta al cual el servidor entrega los hashes reales de contraseña de la base, y el cliente por su parte puede compararlos con su hash completo. Por ejemplo, vamos a comprobar la contraseña "test" (API entrega solo la parte final del hash SHA-1, sin el prefijo solicitado).
Esto les permite a los administradores comprobar las direcciones en modo automático. API se usa, por ejemplo, por la empresa Mozilla que inició el servicio monitor.firefox.com.
Este servicio es cómodo porque enseguida visualiza los sitios web donde se han producido filtraciones de pares correo-e-contraseña y las fechas de las mismas. Por mi dirección básica se visualizan 5 filtraciones de los años 2011-2013.
Es muy interesante. Nuestra prueba confirmó que monitor.firefox.com y haveibeenpwned.com dan varias respuestas al introducir la misma dirección de correo. Parece un enigma.
El servicio permite comprobar también las contraseñas. Pero ¿vale la pena hacerlo?
Un chiste conocido:
– Maestro, he inventado una buena contraseña que no estará en diccionarios.
El Maestro asintió.
– La acabo de introducir en Google,– continuaba el administrador de sistemas, – para asegurarme de que en la Red la no hay.
– Ahora sí que la hay.
Por eso, si uno desea comprobar si hay filtraciones de contraseñas, a través de haveibeenpwned.com se puede descargar la base de hashes de contraseña, crear un hash de su propia contraseña y hacer la comprobación.
Oto detalle importante: al recibir una respuesta diciendo que sus datos no habían sido filtrados, no se recomienda relajarse.
En el sitio web se recopilan no todos los casos de hackeos, sino los más conocidos y con bases públicas.
El mundo de antivirus recomienda
Vd. no puede saber exactamente si sus datos habían sido filtrados. Las empresas que recopilan sus datos pueden no saber nada sobre la filtración. Recordamos: “Ninguna de las plataformas mencionadas había informado sobre la filtración de datos”.
No se puede usar contraseñas cortas y fáciles:
La herramienta con el código fuente abierto para recuperar las contraseñas HashCat ahora puede hackear el hash de la contraseña NTLM de 8 dígitos en menos de dos horas y media, sin importar el nivel de complejidad.
Dos horas y media más tarde, al hackear su equipo, el malintencionado se enterará de su contraseña de menos de 9 caracteres.
Además, nunca recomendamos transferir por la red los nombres de usuario y las contraseñas no cifradas.
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png "Compartido 0 veces")
Nos importa su opinión
Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.
Comentarios de usuarios
razgen
00:31:20 2019-03-15
Неуёмный Обыватель
08:11:34 2019-03-14