Cómo SplashData sabe acerca de las peores contraseñas utilizadas por los usuarios cada año

Navega tus respuestas
1

Se sabe que todos los sitios web de buena reputación almacenan sus contraseñas de usuario en su base de datos después de implementar un algoritmo de hash, e incluso ellos no saben cuál es la contraseña real del usuario; y cuando el usuario inicia sesión en su sitio web, se genera un HASH a partir de la contraseña de entrada del usuario y se compara con el hash almacenado previamente en la base de datos.

Si esto es cierto, entonces, ¿por qué los sitios web como SplashData.com publican anualmente la lista de contraseñas más débiles? ¿Cómo es posible que obtengan el texto sin formato de la contraseña del usuario si estaba oculta?

Estos son algunos de los enlaces para mayor comodidad,

SlashlashData:

'123456' encabeza la lista de las peores contraseñas

  • Symantec habla sobre SplashData

Las peores contraseñas de 2013

    
pregunta Sufiyan Ghori 20.10.2014 - 15:56
fuente

3 respuestas

4

Tu primer enlace dice cuál es la fuente:

  

Esta lista es de archivos que contienen contraseñas robadas publicadas en línea durante el año anterior.

En un mundo perfecto esto no sucedería. No solo todos saldrán y codificarán sus contraseñas con un algoritmo costoso, la seguridad también será lo suficientemente buena como para que las listas de contraseñas no sean robadas. Desafortunadamente, el mundo en el que vivimos no es perfecto.

Las fugas de grandes bases de datos ocurren todo el tiempo.

Todavía hay grandes servicios que almacenan contraseñas en texto plano. La mayoría, al menos, contienen sus contraseñas, pero luego no las eliminan o las eliminan, pero luego usan un algoritmo que es lo suficientemente rápido como para hacer posible el forzado de las contraseñas más débiles (como las de la familia SHA, por ejemplo) .

    
respondido por el Philipp 20.10.2014 - 16:22
fuente
1

Si bien los sitios web "acreditados" pueden hacer esto, hay muchos otros que no los almacenan de forma segura y se ponen en peligro. Las bases de datos de contraseñas comprometidas están disponibles y, si las adquiere, puede construir una lista como la que ha construido SplashData.

    
respondido por el Desthro 20.10.2014 - 16:19
fuente
0

No puedo comentar aún, por lo que publicaré una respuesta .

Puedo pensar en dos cosas que podrían hacer:

  1. Ejecute una lista de contraseñas incorrectas a través de sus hashes y vea cuántas corresponden a su base de datos de hashes de contraseñas, luego cuéntelas y clasifíquelas.

  2. Haga una ingeniería inversa de un conjunto de muestra de sus hashes de contraseña (¿por qué dedicar demasiado tiempo a esto?) y agregue datos sobre las contraseñas de fuerza bruta, luego clasifíquelas.

No puedo decir cuáles son sus métodos exactos, pero no tiene sentido que sea algo que requiera demasiado tiempo o recursos.

    
respondido por el nobrandheroes 20.10.2014 - 16:25
fuente

Lea otras preguntas en las etiquetas

¿Se trata de una vulnerabilidad grave? Divulgación de información semi ¿Qué obtiene exactamente uno de un Nmap Scan?