¿Se usan malas contraseñas para violar la seguridad en la vida real?

Sí, las contraseñas robadas se utilizan en ataques de la vida real. En realidad no me conocí hasta que realicé la búsqueda, y está completamente oculta en la tercera página de mi cuarta o quinta búsqueda de Google; es decir, la información prácticamente no existe. ;-)

De todos modos, aparentemente en 2012 hubo un período de varios meses en los que Las cuentas de Best Buy fueron comprometidas por contraseñas robadas de otro sitio . Y en 2015, Verizon estimó 63% de las violaciones de datos utiliza contraseñas robadas, predeterminadas o débiles . No tengo ganas de registrarme para descargar el informe completo de Verizon, así que no estoy seguro de cuántos fueron robados o débiles o predeterminados, pero supongo que es una parte importante si lo informan de esa manera.

Supongo que hay más información disponible para encontrar si es necesario.

• Se cree que se usaron contraseñas comunes para el incidente Celebgate / Fappening de 2014.
• El sitio web de Groupon culpó a reutilización de contraseña como la fuente de algunas compras fraudulentas en 2016.
• Verison informes 422 violaciones de datos utilizando credenciales robadas para el año 2013.
• ...

La lista continúa y continúa ... Eso es solo una fracción de los resultados de una búsqueda rápida. Solo tienes que buscar "violaciones de contraseña".

Entonces, sí, las contraseñas malas se usan para violar la seguridad en la vida real.

Un desafío al tratar de evaluar el impacto específico que tienen las contraseñas mal elegidas es que no siempre sabemos cómo un atacante obtuvo una contraseña. Tal vez se aprendió la contraseña porque era una suposición fácil, o se reutilizó y se filtró de otro sitio violado, o fue robada, o algunas otras posibilidades. O el usuario objetivo o los propietarios del sistema no saben realmente la respuesta a esa pregunta, o lo saben y simplemente no está incluido en la información compartida con el público.

Hace una década solía registrar activamente historias sobre incidentes relacionados con contraseñas y, al mirar hacia atrás a través de mi índice, no había muchos con detalles sobre cómo se obtuvieron las contraseñas comprometidas. Por ejemplo, aquí hay una historia que menciona a un estudiante que adivina la contraseña de su maestro en una hora. Otro informe reveló que el PIN de cajero automático de una mujer fue adivinado porque era su fecha de nacimiento, que se guardó junto a su banco robado tarjeta. Pero para algunos de los que tienen detalles, verá docenas de otras historias sin mencionar cómo se robaron las contraseñas. Como @Matthew señala en su comentario, estos ataques tienden a ser más individuales, lo que a menudo no se considera de interés periodístico.

Afortunadamente, tenemos un poco más de datos a los que podemos recurrir. En el Informe de seguridad global de Trustwave de 2016, informaron que las contraseñas débiles eran responsables del 7% de los cientos de incidentes que investigaron el año previo. No definen lo que quieren decir con "débil", pero es razonable suponer que esto significa una contraseña que se puede adivinar o descifrar en unos pocos minutos o semanas de esfuerzo. O era una contraseña predeterminada del proveedor. Del mismo modo, informaron que las contraseñas débiles son el método de intrusión identificado 28% del tiempo en 2015 y 31% en 2014 .

RSA compartió noticias de una situación en la que los atacantes intentaron una única contraseña popular contra los 145,000 usuarios de un sitio y lo lograron. comprometido 434 de las cuentas.

En estos días, algunas organizaciones se han movido a la lista negra de contraseñas más débiles porque están cansadas de lidiar con los compromisos de los clientes que resultan de los atacantes que los adivinan. Microsoft anunció que eran prohibir contraseñas comunes para sus cuentas de clientes el año pasado. Se unieron a organizaciones como GitHub y ArenaNet que han estado haciendo esto durante años.

Sí, lo son. Le sugiero que hojee el Informe de incidentes de violación de datos de Verizon .

  

El año pasado, el 63% de las violaciones de datos confirmadas involucraron contraseñas robadas, predeterminadas o robadas.

     

...

     

La captura y / o reutilización de las credenciales se utiliza en numerosos incidentes   patrones de clasificacion Se utiliza en ataques altamente dirigidos, así como en   Infecciones oportunistas de malware. Está en el conjunto de herramientas estándar de   Grupos criminales y atacantes estatales afiliados por igual.

La botnet Mirai usó contraseñas incorrectas para comprometer muchos dispositivos con contraseñas predeterminadas débiles. Esto permitió a sus operadores recopilar una de las (más posiblemente) las botnets DDoS más poderosas de la historia.

Hay muchos datos al respecto en línea; este informe trata el problema de la contraseña: enlace

En realidad, esto sucede con mucha más frecuencia de lo que está sugiriendo.

Un ejemplo muy bueno (y práctico) de lo que sucedería sería lo que le sucedió a Mr. Facebook, Mark Zuckerberg: enlace .

La versión corta es: por lo demás inteligente, y uno asume que de la cinta de su cámara web, el profesional de TI razonablemente bien informado se avergonzó en público porque eligió las contraseñas incorrectas y las reutilizó.

Uno solo puede imaginar lo que podría haber estado disponible para cualquier persona que pueda tener acceso a su cuenta de Facebook ...

Editar: la mayoría de nosotros parece que nos centramos en las contraseñas de los usuarios.

Hay otras instancias a considerar:

• los códigos maestros para ciertos modelos de cajeros automáticos se filtraron en línea, lo que permite a cualquier persona que sabe hacer cosas como hacer que el cajero automático piense que una factura de 20 $ en MONEDA era una factura de MÁS de 5 $
• Las aplicaciones y sistemas SCADA que tienen contraseñas predeterminadas codificadas y / o bien conocidas han sido (supuestamente) explotadas para causar problemas de infraestructura (existe una teoría de que el apagón de 2011 en California fue uno de estos casos)
• Los pincodes de la tarjeta SIM, que (AFAIK) casi siempre tienen el valor predeterminado de 0000: esto puede parecer un ejemplo trivial, pero es la diferencia entre perder una pieza de hardware costosa y perder una pieza de hardware costosa Y tener que pagar Servicios que utiliza el ladrón.

Sí, los volcados de datos pirateados de credenciales a menudo se utilizan para violar cientos o incluso miles de cuentas en diferentes sitios. De hecho, SWIM me dice que en realidad es bastante trivial.

Cuando un sitio es hackeado y volcado, los hackers terminan con millones de correos electrónicos: pares de contraseñas. Dado que las contraseñas se reutilizan mucho, estos inicios de sesión tienen una alta probabilidad de trabajar en diferentes sitios. Por lo tanto, usted elige un sitio, codifica un script rápido para iniciar sesión, luego le pide que pruebe todas las contraseñas y guarde las que funcionan. Hay un mercado completo en torno a estas cuentas robadas: Netflix parece bastante popular.

En pocas palabras, no reutilice las contraseñas.

Afortunadamente o dependiendo de qué lado estás en la mayoría de las personas, utiliza la misma contraseña para cada sitio. Por lo tanto, hace que sea realmente fácil robar contraseñas de sitios web inseguros, especialmente aplicaciones de Android o incluso wifi. Luego usa la misma contraseña para acceder a otros sitios, como cuentas bancarias, etc. Luego, si ingresa en el correo electrónico de alguien, es muy fácil cambiar casi cualquier contraseña. Esta puede ser la vulnerabilidad más fácil y antigua.

Sí, pero vamos a explicar este punto por punto:

1. Primero que todo: como lo han dicho muchas otras respuestas antes, muchas personas usan siempre la misma contraseña, generalmente una débil. Así que una vez robado, un ataque importante puede ser posible. Como algunos otros usuarios informaron sobre la filtración de Verizon, y otros ... podemos agregar a esta lista la violación de datos de Yahoo, en la cual probablemente (no estoy seguro) muchas de esas credenciales robadas se usaron en muchos otros sitios.
2. También se puede agregar una contraseña robada a una Rainbow Tables (invertir las contraseñas de hash) para que puedan usarse para otras ataques.
3. Las contraseñas robadas / contraseñas débiles también se agregan a los diccionarios de fuerza bruta para atacar, es uno de los ataques más simples y fáciles que cualquiera puede intentar.
4. Una contraseña robada puede facilitar un ataque de ingeniería social. Como ejemplo: si puede robar la contraseña de correo de algunos empleados, puede engañar a algunos amigos y jefes; convirtiéndose en un ataque ulterior.

Se ha comprobado que todo esto es un hecho que ha ocurrido miles de veces.