Todo el mundo sabe que una contraseña segura es muy importante. Sin embargo, no puedo encontrar ningún ejemplo público citable de ningún tipo en el que un usuario o usuarios hayan sufrido una gran pérdida por el uso de contraseñas malas, o que su proveedor de servicios las maneje mal.
Hubo un estudio realizado por Ponemon Institute e IBM en 2015 que estimó que el incumplimiento promedio de la información le cuesta a la empresa $ 3.79M, con $ 1.57M adicionales en daños a la reputación.
Fuente: enlace
Sin embargo, es realmente difícil determinar si esto se debe exclusivamente a la seguridad de la contraseña, o si el incidente fue causado por algún otro vector de maldad. Hay un caso identificable de una contraseña incorrecta que se usa para causar daños a la reputación de los países de la OTAN aquí:
Wikileaks realizó un gran esfuerzo para redactar los cables diplomáticos. También lanzaron un gran archivo de seguro que contenía todos los cables diplomáticos sin redirigir en un contenedor cifrado. Desafortunadamente, reutilizaron una contraseña para este propósito que Wikileaks también usó cuando comparte archivos con Guardian. David Leigh, periodista de The Guardian y luego publicó esa contraseña en su libro sobre Wikileaks sin saber que la contraseña es la Contraseña para el archivo de seguro.
Un poco antes, Daniel Domscheit-Berg y otras personas dejaron Wikileaks. En el proceso de dejar Wikileaks, se llevaron la base de datos de documentos con ellos. Entre ellos se encuentran la lista de no volar y un enorme tesoro de documentos del Bank of America.
Julian Assange exigió que devolvieran los datos a Wikileaks. Daniel y las personas que lo rodean argumentaron que Julian Assange y el equipo actual de Wikileaks no eran capaces de mantener los datos seguros. Un poco más tarde, Daniel o las personas a su alrededor supuestamente le dijeron a un periódico sobre el hecho de que La contraseña publicada en el libro del periodista de The Guardian es, de hecho, la contraseña del archivo de seguro.
Esta entrada condujo a que los datos sobre los cables diplomáticos no estuvieran abiertos de manera abierta. Wikileaks decidió publicar todo en una forma redactada. Los nombres de las fuentes en los cables diplomáticos se hicieron públicos. Daniel y las personas que dejaron Wikileaks luego decidieron eliminar el tesoro de datos que se llevaron con ellos y los datos del Banco de América nunca vieron la luz del día. Todo el fiasco produjo mucha mala voluntad con Daniel Domscheit-Berg siendo expulsado del Chaos Computer Club.
Es una historia de cómo incluso las personas que están muy versadas en la seguridad de las computadoras pueden equivocarse en la administración de contraseñas con graves consecuencias.
Lea otras preguntas en las etiquetas passwords password-management password-policy