123456, la contraseña más utilizada por los usuarios de Adobe según los datos filtrados

A comienzos de octubre os hablamos de un ataque a Adobe, que en teoría había comprometido los datos de 2,9 millones de clientes. Sin embargo, poco después la compañía se vio obligada a reconocer que los datos de más de 38 millones de usuarios activos se habían filtrado en un archivo que contenía más de 150 millones de datos de login (usuarios y contraseñas) de Adobe.

A partir de este documento, Jeremi Gosney (consultor de la empresa de seguridad Stricture Consulting Group) ha analizado la información y ha podido realizar una lista con las contraseñas más utilizadas. La gran ganadora es, con diferencia, 123456, que utilizaron casi 2 millones de usuarios (y que coincide, por ejemplo, con la más popular también en Yahoo). En un segundo puesto, con casi 500.000 usos, se encuentra 123456789 mientras que el bronce se lo lleva password a secas. Os dejamos los primeros puestos de este particular ranking a continuación.

1. 123456

2. 123456789

3. password

4. adobe123

5. 12345678

6. qwerty

7. 1234567

8. 111111

9. photoshop

10. 123123

11. 1234567890

12. 000000

13. abc123

14. 1234

15. adobe1

16. macromedia

17. azerty

18. iloveyou

19. aaaaaa

20. 654321

Podéis ver el top 100, junto al número de usuarios que las han utilizado, en este txt con la lista completa.

¿Y cómo se han conseguido las contraseñas?

Vale, tenemos la lista, pero ¿cómo han conseguido estas contraseñas? Adobe las almacenada cifradas tal y como ellos mismos confirmaron, sí, pero no de la mejor manera. Utilizaron para ello el algoritmo 3DES con el modo ECB (electronic codebook). A efectos prácticos, esto significa que cuando una cadena de texto se cifra se utiliza siempre la misma clave, es decir, si ciframos dos cadenas de texto iguales el mensaje resultante es siempre el mismo. Con esto en cuenta, un primer análisis del documento con los datos robados puede darnos fácilmente el equivalente cifrado de las contraseñas más utilizadas.

En Naked Security lo explican más en detalle con esta imagen, donde se ve cómo se dispone la información. Además del usuario, el correo y la contraseña aparece otro campo: "Password hint". En teoría ahí cada usuario debe escribir una pista que le ayude a descubrir su contraseña en caso de no acordarse, pero en la realidad muchos lo utilizaron para escribir directamente su password.

Si todos los que compartían la misma contraseña tenían su mismo equivalente cifrado y alguno de ellos decidía utilizar el campo "Password hint" para explicar cuál era su password, la contraseña de todos ellos queda al descubierto. Graham Cluley pone un ejemplo. Si tienes un texto cifrado común y unas password hints como las que os dejamos a continuación, ¿cuál crees que sería la contraseña que ocultan?

• 1to6
• numbers
• 123
• 654321
• numeros
• 1-6
• number
• 1
• 12
• num

Según explica el propio Gosney, en apenas tres horas y gracias a las password hints (que, recordamos, se guardaban en texto plano) pudo descubrir manualmente cuáles eran las 100 contraseñas más utilizadas. Y eso sin necesidad de tener la clave única de cifrado. Desde Adobe aseguran que esto no volverá a ocurrir porque desde hace un año utilizan SHA-256, donde cada contraseña produce un texto cifrado distinto independientemente de que el contenido sea el mismo.

Lo más llamativo de todo es que nos encontramos, probablemente, ante uno de los hackeos más importantes y peligrosos de los últimos tiempos y Adobe tiene gran parte de culpa por la forma tremendamente insegura en la que almacenaba la información de sus usuarios. Sin embargo, y sorprendentemente, el asunto apenas ha tenido repercusión. Desde Adobe, desde el primer día, han intentado minimizar el número de afectados y las posibles consecuencias, y parece que lo han conseguido.

En Genbeta | "Atacan la red de Adobe y obtienen datos de usuarios y el código fuente de varios programas":https://www.genbeta.com/actualidad/adobe-es-atacada-los-atacantes-han-obtenido-datos-de-usuarios-y-el-codigo-fuente-de-varios-programas