Todo lo anterior que mencionaste, más al menos dos más:
1. Para un usuario que reutiliza contraseñas en diferentes cuentas (es decir, un gran, gran, gran cantidad de usuarios), el robo de una base de datos de contraseñas de un servicio permite a un actor malintencionado simplemente reintentar esas credenciales en una amplia gama de otros sitios. A menudo con éxito.
Esta táctica ha demostrado ser exitosa en la violación de la contraseña después de la violación de la contraseña, y es probablemente la forma más eficiente en que un mal actor puede acceder rápidamente a muchas cuentas valiosas. Ejemplo concreto: si la dirección de correo electrónico y la contraseña de un usuario determinado son robada de, digamos, LinkedIn , un actor malintencionado simplemente va y prueba esas mismas credenciales en Bank of America, Citi, JP Morgan Chase, Paypal y otros sitios financieros (y otros sitios de interés) con una base de clientes muy grande. El atacante juega con las probabilidades: pruebe las credenciales robadas de una persona que reutiliza contraseñas en servicios muy populares y con frecuencia tendrá una cuenta en la que esas credenciales reutilizadas funcionen. Incluso si esta táctica de prueba para muchos funciona con un porcentaje muy pequeño de credenciales de usuario en una base de datos robada determinada, si la base de datos de la que estamos hablando contiene millones de registros, es una fiesta increíble. cualquier actor malicioso que tenga acceso a ellos.
(Para propósitos de mantener las cosas simples aquí, supongamos que cualquier base de datos de contraseñas comprometidas que mencioné anteriormente no estaba protegida por un hashing de contraseñas muy robusto, lo que resultó en que actores maliciosos descifren una gran parte de los hashes robados para que puedan recuperar el contraseñas originales, de texto sin formato y trate de reutilizarlas. Como, bueno, lo que sucedió con el hack en LinkedIn .)
2. La táctica a menudo pasada por alto pero devastadora del abuso de restablecimiento de contraseña.
Como usuario, puede hacer absolutamente todo bien cuando configura una contraseña para un servicio. No reutilice una contraseña de ningún otro lugar, use un extenso & cadena generada aleatoriamente con letras minúsculas, letras mayúsculas, dígitos y caracteres especiales, pero aún tiene su cuenta secuestrada. Si es así, un mal actor puede simplemente restablecer esa contraseña. ¿Cómo sucede eso? Bueno, la mayoría de las veces sucede porque algunos servicios muy prominentes siguen utilizando la práctica espantosa de proteger el restablecimiento de contraseñas con preguntas de seguridad bastante adivinables. ( Algunos de ellos incluso han permitido a los atacantes hacer intentos ilimitados para adivinar las respuestas a estas preguntas correctamente.) Pero a veces un atacante ni siquiera necesita lograr eso; los representantes de servicio al cliente para los servicios a veces se mostrarán relajados sobre el procedimiento adecuado y restablecerán una contraseña incluso cuando un atacante no pueda responder las preguntas correctamente. Más famoso / infame, esto es lo que le sucedió al periodista Mat Honan cuando un el hacker violó su cuenta de Apple y eliminó el contenido de todos sus dispositivos Apple.
Configurar la autenticación de dos factores con un servicio ( si el servicio lo ofrece) para autorizar el restablecimiento de la contraseña puede reducir su riesgo, al igual que intentar evitar el uso de servicios que dependen de mecanismos de autenticación débiles como la seguridad. preguntas Pero eso aún deja abierta la posibilidad de que un representante de servicio al cliente mal entrenado y mal monitoreado pueda ser engañado para restablecer su contraseña para un atacante. Y sobre esa amenaza un usuario puede hacer muy poco.