Ayer publicabamos la noticia de los password, parece ser que entre repetidos y las cuentas para hacer spam quedan en unos 30.000.
Twitter ha informado que a los usuarios afectados se les envió una nueva contraseña, pero seguimos sin saber detalles del incidente, ¿como se consiguieron esas cuentas? ¿se vulnero una base de datos? ¿Ataque interno?
En Seguridad a lo Jabalí insistimos una vez mas que se podían ver en el listado contraseñas en texto plano, lo cual nos hace desconfiar de la noticia o de los datos del incidente.
Desde hace muchos años se recomienda almacenar los datos de password aplicándoles un algoritmo unidireccional o hash.
¿Que diferencia puede haber?
La respuesta es muy sencilla, el usuario es una cuenta de correo, sera el mismo para muchas plataformas, otras redes sociales, sitios de pago y posiblemente la contraseña es igual o muy parecida (vamos! sin los números del final).
Entonces el cambiar la password desde la plataforma comprometida no soluciona la totalidad del daño, es cierto que la responsabilidad de utilizar distintas claves es del usuario (pero cuantos realmente lo hacen), también es verdad que al publicarse la cuenta de correo y las contraseñas en texto plano se comprometen otras cuentas de ese usuario.
Ampliando la imagen podéis ver que hay muchas contraseñas sin hash y sin ninguna complejidad, en Twitter no funcionaran porque se cambiaron, ¿pero esa misma cuenta en facebook? ¿utilizara la misma clave? ¿y el mail?
Seguridad a lo Jabali para Todos!!!
No hay comentarios:
Publicar un comentario