Respuesta apropiada a la violación de seguridad de Rusia 2014 (CyberVor)

El informe se autentica en Los hackers rusos acumulan más de un billón de contraseñas de Internet - NYTimes.com . Pero aún queda mucho por aclarar, e incluso los tiempos no notaron el conflicto de intereses que Hold Security está configurando al hablar en términos miedos pero no específicos sobre esto, y solo ofrecer sus propios servicios pagos para ayudar a las víctimas, como alude a.

Me sorprende que no haya ninguna discusión sobre la importancia de compartir correctamente las contraseñas con sal y antes de almacenarlas en las bases de datos de contraseñas, como se explica aquí en etiqueta 'contraseñas' wiki . Si un sitio hace eso, y las contraseñas son seguras, un pirata informático no podría aprender las contraseñas simplemente descargando las bases de datos del sitio web. Tendrían que modificar el código de autenticación del sitio web y capturar las contraseñas de forma interactiva cuando los usuarios inician sesión. Por lo tanto, solo obtendrán las contraseñas de los usuarios activos lentamente, y ese tipo de ataque en un sitio es mucho más probable que se note.

Pero, por supuesto, muchas aplicaciones web no siguen estas prácticas básicas, como se explica, por ejemplo, en En busca de ejemplos de aplicaciones bien conocidas que utilizan hashes sin sal

Los usuarios finales deben usar este y otros informes de piratería de sitios web para motivarlos a tener cuidado con los sitios web con los que interactúan, y ser inteligentes con respecto a cómo tratan las contraseñas. Utilizar sitios web que admitan el uso de un servicio de inicio de sesión web bien protegido que requiera una autenticación de dos factores es mejor que trabajar con un sitio web con menos recursos que administre su propia base de datos de contraseñas. Vea también las técnicas para manejar de manera sana una gran cartera de contraseñas en ¿Cómo ayudar a los usuarios a gestionar las carteras de contraseñas en función de los riesgos de compromiso? - Intercambio de pila de seguridad de la información .

Si ha reutilizado contraseñas para sitios importantes en otros sitios, podría beneficiarse de cambiar esas contraseñas, por ejemplo. si el sitio importante no es vulnerable, pero otro con la misma contraseña ha sido hackeado. Pero dado que muchos de los sitios con problemas siguen siendo vulnerables, simplemente cambiar su contraseña ahora en uno de esos puede no ser de gran ayuda. Y como se señaló en la discusión de la cartera de contraseñas, cambiar las contraseñas de los sitios donde realmente no tiene información o activos en riesgo es mucho menos importante.

En los Estados Unidos, la protección de la identidad generalmente consiste en recibir avisos cuando se obtiene un crédito a su nombre o bloquear su perfil de crédito mediante un reclamo de que su identidad ya ha sido comprometida. Teniendo en cuenta los límites legales que se mencionan a continuación, eso parece tener poco valor para mí, pero quizás lo ayude a dormir por la noche.

Sugiera que use el sistema legal para su ventaja si se encuentra en los Estados Unidos y limite sus fondos disponibles en cualquier cuenta de débito en línea mientras usa tarjetas de crédito, ya que es más fácil no pagar una factura no válida que recuperar dinero en una cuenta vacia Aquí están limitados en responsabilidad a cincuenta dólares si son atacados enlace de referencia .

Este es un problema para todos nosotros y para la gente que también desea comerciar con nosotros (consulte la pérdida de $ 148 millones de Target publicada esta semana). Las tarjetas de crédito Chip y Pin llegarán a nosotros en los próximos años en los Estados Unidos, pero nada significativo cambiará en el frente de las amenazas pronto, así que aprenda a vivir con ellas y entienda sus derechos legales.