Por ejemplo, consulte esta historia . ¿Me estoy perdiendo de algo? ¿Los datos de inicio de sesión todavía están encriptados?
No entiendo cómo es posible que una violación de datos de lo que supongo que es información cifrada (GMail, Yahoo, etc.) termine en una forma explotable (que supongo que solo es texto sin formato).
Las contraseñas no deben estar encriptadas, deben tener un hash. El cifrado se puede revertir fácilmente si tiene la clave, y un atacante que haya logrado robar toda la base de datos probablemente también haya robado la clave. Un hash no se puede revertir fácilmente.
Cuando alguien intenta iniciar sesión, el servidor no descifra la contraseña almacenada. En su lugar, utiliza la contraseña proporcionada y comprueba si coincide con el hash almacenado de la contraseña.
Entonces, si una función hash está diseñada para ser difícil de revertir, ¿por qué las contraseñas terminan en texto sin formato? Debido a los ataques de fuerza bruta.
Si tiene un hash, simplemente intente hacer un hash de todas las contraseñas posibles y ver si obtiene una coincidencia. Es posible que deba probar un par de millones antes de encontrar una coincidencia, pero tarde o temprano lo hará. Si usa una lista de contraseñas comunes y las prueba primero, será rápido para descifrar contraseñas comunes como 123456 .
Para mantener tus contraseñas seguras, debes hacer que "tarde o temprano" signifique "tan tarde que no vale la pena el esfuerzo". Esto se hace mediante el uso de funciones hash diseñadas deliberadamente para ser lentas incluso en el hardware moderno, de modo que intentar millones y millones de contraseñas llevaría años o incluso milenios.
Sin embargo, muchos sitios utilizan funciones hash incorrectas (que son rápidas y, por lo tanto, fáciles de usar), o incluso peor: simplemente almacenan las contraseñas en texto plano o simplemente encriptadas. Por lo tanto, muchas contraseñas terminan en texto sin formato en manos de hackers.
Para obtener más información sobre el hashing, recomiendo esta pregunta .
Teniendo en cuenta los pequeños detalles de la historia, es difícil estar seguro, pero la explicación más simple es que las credenciales no se cifraron cuando el pirata informático hizo una copia.
Es posible que las contraseñas se hayan cifrado en una base de datos, pero muchos de los llamados esquemas de encriptación de base de datos "transparentes" sirven solo para proteger el archivo de base de datos de ser copiado y reutilizado; descifran de forma transparente los datos a los clientes que acceden a los datos a través del motor con credenciales legítimas. Si el pirata informático recuperó las credenciales a través de una consulta utilizando esas credenciales (tal vez al abusar de algún servicio interno diseñado para enviar a las personas las contraseñas olvidadas), habría recuperado las contraseñas de forma clara.
También es posible que las contraseñas se almacenaran como valores hash "sin sal", por lo que serían vulnerables a los ataques de la tabla del arco iris.
Mail.ru es un servicio antiguo que ha existido durante décadas. Si nunca han modernizado la seguridad de su base de datos de usuario / contraseña, cualquiera de estos esquemas de almacenamiento de contraseñas antiguas habría sido posible, dejándolos vulnerables.
Debido a que Google y Yahoo generalmente saben cómo hacer bien la seguridad, aunque se mencionó en el artículo como violado, algo más puede estar sucediendo. Como el artículo menciona los servicios rusos y chinos, podemos especular que pueden estar sujetos a reglas que exigen que los servicios de correo electrónico entreguen las contraseñas reales de los usuarios al gobierno o a las agencias policiales. Eso significaría que las empresas tendrían que almacenar contraseñas de manera recuperable, como el cifrado, en lugar de usar un algoritmo de hashing de contraseñas seguro como PBKDF2.
También es posible que las cuentas de Google y Yahoo hayan sido víctimas de ataques de contraseña compartida. Después de haber aprendido la contraseña de [email protected], podrían haber sustituido simplemente [email protected] e [email protected] y haberlos probado de esa manera. Sin embargo, verificar que millones de contraseñas atraiga la atención de los equipos de seguridad de Google y Yahoo.
Nuevamente, esto es una especulación basada en detalles débiles, pero todos estos ataques han ocurrido en el pasado a diferentes proveedores.
Lea otras preguntas en las etiquetas passwords authentication hash cryptography encryption