¿Cómo se pueden robar las contraseñas de Yahoo?

Navega tus respuestas
2

Siempre entendí que los servidores no almacenan realmente las contraseñas de los usuarios. En su lugar, almacenan hashes de contraseñas y luego validan la entrada del usuario aplicando la función hash, luego comparan el resultado hash con el valor hash almacenado localmente en el servidor. Sin recibir una contraseña y luego aplicar esta operación de hash y comparar, un usuario no tiene acceso.

Si este es el caso, ¿cómo pueden ser robadas miles de contraseñas de cuentas de Yahoo, como se informó recientemente?

Si este no es el caso (en cuanto a cómo se realiza la autenticación de la contraseña de Yahoo), ¿cómo se hace? ¿Realmente mantienen las contraseñas reales a mano? ¿Es esta práctica común?

    
pregunta Jim 02.08.2012 - 01:15
fuente

1 respuesta

2

Los atacantes explotaron una debilidad en la base de datos que causó que la base de datos volcara accidentalmente una gran cantidad de registros de hash (* y posiblemente sal) de nombre de usuario * .|)

Los hashes fueron entonces forzados por la fuerza bruta, revelando todas las contraseñas más débiles como "toto24" y "123456" o "mypassword", pero no las más fuertes. Esto comprometió una gran parte de las cuentas, ya que la mayoría de las personas tienen contraseñas falsas. Y a menudo, incluso saber el nombre de usuario es suficiente, ya que la persona podría haberse registrado con el mismo nombre de usuario en un sitio web con una seguridad aún más débil, pero aquí está la parte interesante: también se registró con la misma contraseña. ¡Se acabó el juego!

Yahoo nunca tuvo las contraseñas de texto simple a mano, aunque podrían haber descifrado las cuentas débiles si realmente quisieran, pero no tienen ningún incentivo para hacerlo.

* En el caso de Yahoo, nombre de usuario = correo electrónico.

    
respondido por el Thomas 02.08.2012 - 01:28
fuente

Lea otras preguntas en las etiquetas

Encuentre cambios y modificaciones hechas al sistema por aplicación o virus, Windows 8 en un entorno VDI y el uso de arranque seguro