¿Qué significa el correo electrónico “Cambiar su contraseña en cualquier otro lugar” del servicio comprometido?

Navega tus respuestas
7

Hace un par de horas recibí un correo electrónico de ubuntuforums.org:

  

[...] el atacante ha obtenido acceso para leer su nombre de usuario, dirección de correo electrónico y una copia cifrada de su contraseña de la base de datos del foro.

     

Si ha utilizado esta contraseña y dirección de correo electrónico para autenticarse en cualquier otro sitio web, se le insta a restablecer la contraseña de esas cuentas inmediatamente , ya que el atacante puede usar la información personal comprometida para Accede a estas otras cuentas. Es importante tener una contraseña distinta para las diferentes cuentas [...]

Para mí, ese fragmento de texto suena como:

  

No utilizamos sales, y usamos MD5 para hacer hash de las contraseñas, por lo que debe cambiar su contraseña en cualquier lugar de la red porque muchos servicios hacen el mismo "método de hashing".

Entonces, la pregunta (en comparación con "Usamos métodos de cifrado de contraseñas fuertes con sales y demás, así que aquí está su inicio de sesión único, se le pedirá que cambie su contraseña al iniciar sesión, no es necesario cambiar sus contraseñas en todas partes") es: ¿ese tipo de reacción de un servicio comprometido le dice qué tan mala es su seguridad?

    
pregunta НЛО 24.07.2013 - 06:44
fuente

2 respuestas

10

No, esta es una práctica estándar y un intento de limitación de responsabilidad por parte de los abogados. Es completamente posible que alguien invierta una contraseña débil incluso a partir de valores correctamente picados y salados si tiene ganas de pasar el tiempo. Las sales lo hacen más lento, pero no evitan que se rompa con contraseñas débiles.

Si su contraseña se ve comprometida, no quieren ser responsables cuando el pirata informático inicia sesión en su cuenta bancaria y le quita los ahorros de su vida, por lo que sugiere cambiar cualquier cuenta que haya compartido el nombre de usuario y la contraseña.

En lo personal, generalmente no me preocupo demasiado por esta notificación siempre que tenga una contraseña segura que no pueda forzarse con fuerza, pero la verborrea del mensaje es par para el curso.

    
respondido por el AJ Henderson 24.07.2013 - 07:40
fuente
2

Creo que es deber de los propietarios de cualquier aplicación comprometida alertar a sus usuarios sobre el compromiso. El correo electrónico no le dice directamente que su seguridad es mala o no. Pero en su lugar, le advierte sobre el cambio de contraseñas en caso de que se produzca el peor escenario.

Siempre que su contraseña sea segura, no tiene necesidad de pánico. Pero para otros con una contraseña débil, un pánico es bueno. Pueden hacerse cargo de las cuentas restantes.

    
respondido por el the Injector 24.07.2013 - 08:36
fuente

Lea otras preguntas en las etiquetas

¿Es STARTTLS una vulnerabilidad de seguridad? Colocación de sal antes del hash de una vía