Por si no había suficiente con el asunto de las entradas del calendario en iOS, una mala jugada ha hecho que más de seis millones de contraseñas de usuarios de LinkedIn estén disponibles en la red. Un navegante ruso ha sido de los primeros en confirmarlo en un foro, y algunas de esas contraseñas ya se han podido descifrar.
Son las contraseñas y algunos datos más (como los correos electrónicos) de menos de un 10% de todos los usuarios de la red social, pero aún así estamos hablando de muchísimas personas y de un servicio orientado a profesionales. La imagen superior demuestra que los datos se están encontrando mediante ataques de fuerza bruta.
Por supuesto, y para prevenirnos de ataques, recomendamos lo mismo que se recomienda en todas partes: cambiar la contraseña. Sobretodo si sospechamos que alguien ajeno ha iniciado sesión. Por el momento, oficialmente, LinkedIn está investigando después de que hayan salido a la luz estos datos.
Vía | ZDNet
Ver 21 comentarios
21 comentarios
malakai
#2 Usar una semilla para calcular los hashes tampoco es necesario, el uso de un algoritmo de hash seguro se considera suficiente.
Las contraseñas tienen que estar cifradas y se recomienda que se use un salt.
No me cansare de decirlo, el verbo encriptar no existe
Miguel López
He corregido algunos detalles de la entrada, chicos, gracias por puntualizar :)
nuevocharrua
las contraseñas no tienen que estar cifradas, sino HASH+SALT
Renato
Controlado y se supone que mi contraseña no esta en el archivo.
Vaya de noticias de Linkedin hoy no? Vamos, quieren tener acceso a los datos del calendario de dispositivos iOS, pero no son capaces de cifrar y guardar bien las contraseñas....
JuanAR
Cambiada. Gracias por avisar, la mia era de las facilitas jejeje
alber91
borrada la cuenta ;)
Usuario desactivado
Que fuerte. Mas de uno ya deberia estar cambiando su contraseña no solo ahi, sino en todos los otros sitios donde usa la misma, antes de que le desplumen en amazon o algun sitio similar.
Da igual como sea el hash, en un ataque de diccionario trivial seguro que salen centenares de passwords debiles en pocos minutos. Se puede hacer en casa comodamente offline.
albandy
hay que ser H.P. para utilizar sha1, por lo menos debería ser sha-256
En plan cutre sería algo del palo:
cat dicconario.txt | while read data
do
CODIFICADO=$(echo $data | cut -f '1' -d ' ' | shasum)
ENCONTRADO=$(cat passwd.txt | grep $CODIFICADO)
if [ "$CODIFICADO" == "$ENCONTRADO ]
then echo $data $ENCONTRADO
fi
done
Evidentemente este no es un algoritmo óptimo ni se le acerca, pero haciéndolo bien hecho, (no en bash script como está aqui) usando MPI o PVM se podría clusterizar. sería factible hacer un ataque por fuerza bruta con diccionario y también se podrían utilizar rainbow tables.