El informe se autentica en Los hackers rusos acumulan más de un billón de contraseñas de Internet - NYTimes.com . Pero aún queda mucho por aclarar, e incluso los tiempos no notaron el conflicto de intereses que Hold Security está configurando al hablar en términos miedos pero no específicos sobre esto, y solo ofrecer sus propios servicios pagos para ayudar a las víctimas, como alude a.
Me sorprende que no haya ninguna discusión sobre la importancia de compartir correctamente las contraseñas con sal y antes de almacenarlas en las bases de datos de contraseñas, como se explica aquí en etiqueta 'contraseñas' wiki . Si un sitio hace eso, y las contraseñas son seguras, un pirata informático no podría aprender las contraseñas simplemente descargando las bases de datos del sitio web. Tendrían que modificar el código de autenticación del sitio web y capturar las contraseñas de forma interactiva cuando los usuarios inician sesión. Por lo tanto, solo obtendrán las contraseñas de los usuarios activos lentamente, y ese tipo de ataque en un sitio es mucho más probable que se note.
Pero, por supuesto, muchas aplicaciones web no siguen estas prácticas básicas, como se explica, por ejemplo, en En busca de ejemplos de aplicaciones bien conocidas que utilizan hashes sin sal
Los usuarios finales deben usar este y otros informes de piratería de sitios web para motivarlos a tener cuidado con los sitios web con los que interactúan, y ser inteligentes con respecto a cómo tratan las contraseñas. Utilizar sitios web que admitan el uso de un servicio de inicio de sesión web bien protegido que requiera una autenticación de dos factores es mejor que trabajar con un sitio web con menos recursos que administre su propia base de datos de contraseñas. Vea también las técnicas para manejar de manera sana una gran cartera de contraseñas en ¿Cómo ayudar a los usuarios a gestionar las carteras de contraseñas en función de los riesgos de compromiso? - Intercambio de pila de seguridad de la información .
Si ha reutilizado contraseñas para sitios importantes en otros sitios, podría beneficiarse de cambiar esas contraseñas, por ejemplo. si el sitio importante no es vulnerable, pero otro con la misma contraseña ha sido hackeado. Pero dado que muchos de los sitios con problemas siguen siendo vulnerables, simplemente cambiar su contraseña ahora en uno de esos puede no ser de gran ayuda. Y como se señaló en la discusión de la cartera de contraseñas, cambiar las contraseñas de los sitios donde realmente no tiene información o activos en riesgo es mucho menos importante.