¿Cifrado de la contraseña de la cuenta del usuario por los proveedores de servicios de correo electrónico basados en web?

No están encriptados , en realidad son hash : ambos son operaciones criptográficas con la diferencia de que los hashes son irreversibles.

Uno no puede simplemente "descifrar" un hash de contraseña. Sin embargo, dada una contraseña, uno puede generar un hash para ello.

Si un atacante ha obtenido de alguna manera el contenido de la base de datos de hashes de contraseña, puede pensar en una contraseña aleatoria, calcular su hash, comparar este hash calculado para verificar si coincide con uno de los hashes almacenados en la base de datos. Si lo hace, entonces significa que el atacante acaba de adivinar la contraseña correcta para el usuario correspondiente.

Para acelerar el proceso, el atacante usaría dos medios principales:

• En lugar de pensar en una contraseña aleatoria, usará una lista muy grande de las contraseñas y las palabras del diccionario que se usan con más frecuencia, que generalmente ya le proporcionarán muchas cuentas, pero además se aplicará automáticamente a estas contraseñas potenciales. un conjunto de transformaciones frecuentes erróneamente percibidas como seguras por muchos usuarios.
• Algunos software de descifrado de contraseñas permiten acelerar el proceso de hash usando la GPU (el procesador de la tarjeta gráfica), que es más rápido que la CPU para las operaciones criptográficas requeridas para computar un hash (la efectividad depende en gran medida del algoritmo de hash exacto). usado, el algoritmo hash recomendado moderno está especialmente pensado para luchar contra esto).

Este proceso generalmente no permitirá obtener todas las contraseñas de las bases de datos filtradas, pero aún así permitirá obtener muchas de ellas : todas las más débiles. Entonces, si utiliza una contraseña segura , y el sitio web utiliza un método hash de contraseña adecuado , incluso en el caso de una violación de la base de datos, su contraseña todavía puede ser segura