elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Únete al Grupo Steam elhacker.NET


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Noticias (Moderadores: wolfbcn, El_Andaluz)
| | | |-+  Este sitio va a exponer tus contraseñas filtradas en texto plano al menos que...
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Este sitio va a exponer tus contraseñas filtradas en texto plano al menos que...  (Leído 1,128 veces)
wolfbcn
Moderador
***
Desconectado Desconectado

Mensajes: 53.668



Ver Perfil WWW
Este sitio va a exponer tus contraseñas filtradas en texto plano al menos que...
« en: 13 Abril 2018, 01:44 am »

Si alguna vez tu email se ha visto comprometido en una de tantas brechas de datos de los últimos años, esto es simplemente más evidencia de lo importante que es cambiar tus contraseñas cuando eso pasa. Muchas de esas filtraciones se encuentran en bases de datos que se han hecho públicas y al alcance de cualquier tercero con malas intenciones.

Justo eso ha hecho un nuevo sitio que funciona básicamente como un clon malicioso de Have I been pwned?, la conocida herramienta que te deja comprobar si tu email ha sido hackeado. La diferencia es que este te muestra tu email junto a la contraseña en texto plano y amenaza con filtrarla a menos que le pagues en bitcoin un otras criptomonedas.

LEER MAS: https://www.genbeta.com/seguridad/este-sitio-va-a-exponer-tus-contrasenas-filtradas-en-texto-plano-al-menos-que-les-pagues-en-bitcoin


En línea

La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.
Serapis
Colaborador
***
Desconectado Desconectado

Mensajes: 2.898


Ver Perfil
Re: Este sitio va a exponer tus contraseñas filtradas en texto plano al menos que...
« Respuesta #1 en: 13 Abril 2018, 16:35 pm »

Esto sucede, simplemente porque los sistemas (el 99%, o más) están mal diseñados.

Un site, no debe guardar (JAMÁS) contraseñas, entre otras cosas, porque no las necesita, solo debe guardar la 'prueba de la contraseña', esto es, el HASH de la contraseña. Así aunque alguien encuentre un hash, no es suficiente para acceder al site, necesita además, como mínimo una contraseña que cuadre en ese hash, así sea una resultado de una colisión. Por tanto, obtener tal hash, no soluciona prácticamente nada, todavía habría que nadar en el laberinto de posibilidades para encontrar una colisión. Lo que en la práctica, podría (en muchas ocasiones, aunque difícil de saber) dar tiempo a que el site, se enterara de haber sido hackeado y avisar a los usuarios... dando así tiempo (muchísimo más tiempo, comparado a obtener contraseñas en texto plano), a cambiarlas sin más problemas...

...y para ser más seguro, el site debiera guardar, no un hash, si no dos, procedentes de hashear la misma contraseña pero con dos algoritmos distintos, así la colisión conduce prácticamente a la nulidad (la posibilidad real es el producto de todas als posibilidades de cada método, esto, si son de la misma longitud, la posibilidad de colisión es la raíz cuadrada de uno solo de los algoritmos). Esto prácticamente aseguraría, que aunque alguien si hiciera con el hash (que guarde el site) de tu contraseña, no le bastaría con encontrar una colisión, pués fallaría igualando el hash para el otro algoritmo... lo que supone elevar el tiempo de búsqueda de la clave, esto, es...en la práctica, supondría usar fuerza bruta, exactamente igual que si no se dispusiese de dicho Hash...


« Última modificación: 13 Abril 2018, 16:37 pm por NEBIRE » En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines