¿Debo preocuparme por una violación donde no se reveló mi contraseña?

12

Después de buscar otra pregunta en este sitio, descubrí haveibeenpwned.com y pensé en revisar mi correo electrónico. Surgió con una violación que, aparentemente, no ha sido ampliamente compartida y no incluye una contraseña o mucha información personal:

Tengo una contraseña alfanumérica aleatoria de más de 12 caracteres para este sitio que es poco probable que se rompa. No he usado el sitio para mensajes personales, y he recibido pero no he realizado pagos a través de él. Por lo tanto, no parece que haya mucho de qué preocuparse, aparte de un posible aumento en el spam.

Aprecio que hay varias preguntas que preguntan qué acción se debe tomar si sus datos se filtran en línea. Sin embargo, no quiero esforzarme si las medidas correctivas no son necesarias, por lo tanto, estoy preguntando si debo o no molestar.

    
pregunta Matt Thrower 16.12.2015 - 13:27
fuente

2 respuestas

7

Los datos de Patreon incluyeron contraseñas con el uso del algoritmo BCrypt de mejores prácticas de la industria (estos datos están disponibles en línea a través de la búsqueda del "volcado de datos de Patreon", aunque su posesión puede ser un delito en algunas jurisdicciones, por lo que no enlazando a ella). Esto no significa que sean imposibles de romper, pero son relativamente lentas de romper. Por lo tanto, aún debe considerar la contraseña como potencialmente comprometida.

Específicamente, los datos de la tabla disponibles a través de fuentes como esta revelan que una tabla llamada "tblUsers" contenía un campo llamado "Contraseña" y también lo hizo otra tabla llamada "tblUnverifiedUsers". Dada la escala del volcado, sería irresponsable suponer que no se accedió a estos datos. El CEO de Patreon también proporcionó una declaración posterior a Motherboard que indica" ciframos toda la información del formulario de impuestos con una clave RSA de 2048 bits. La clave utilizada para descifrar esta información se encuentra en un servidor independiente y no se vio comprometida. Todas las contraseñas de los usuarios se cifran con bcrypt con 8 o 12 pases, según el momento en que el usuario se haya registrado ".

La idea de las contraseñas de hash es proporcionar ese búfer para cambiar los detalles en caso de una infracción: cualquier contraseña puede romperse, dado el tiempo suficiente, sin importar qué algoritmo se use. Después de todo, tiene que haber una manera de comparar la entrada del usuario con los datos almacenados en la base de datos; el peor de los casos para el atacante es que prueben todas las cadenas de entrada posibles a través del mismo algoritmo, con el mismo sal, hasta que Obtienen la misma salida. El mejor caso para ellos es que no necesitan molestarse en hacerlo.

Suponiendo que practica un buen uso de la contraseña, es probable que esté bien. Probablemente ya haya cambiado su nombre de usuario de Patreon y será diferente a cualquier otro sitio que tenga. Sin embargo, no hay nada que puedas hacer con ninguno de los otros datos.

    
respondido por el Matthew 16.12.2015 - 14:59
fuente
4

Desde un punto de vista teórico, la lista de datos comprometidos no incluye nada con respecto a la contraseña en ninguna forma, por lo tanto, siempre y cuando confíe en que esta lista esté completa sobre todos los datos filtrados, entonces su contraseña es segura.  Las principales amenazas causadas por la lista afectan los problemas de privacidad, phishing y spam.

Sin embargo, tengo algunas dudas sobre si esta lista está realmente completa ya que el el mismo cofundador de Patreon confirmó que la base de datos de contraseñas era accedió y aconsejó a los usuarios cambiar su contraseña.

Si bien afirman haber aplicado las mejores prácticas y utilizado bcrypt() para proteger su base de datos de contraseñas, artículo de Ars Technica recuerda que el problema de la implementación podría causar debilidades aún permitiendo a los hackers extraer contraseñas.

    
respondido por el WhiteWinterWolf 16.12.2015 - 15:00
fuente

Lea otras preguntas en las etiquetas