Hace un par de horas recibí un correo electrónico de ubuntuforums.org:
[...] el atacante ha obtenido acceso para leer su nombre de usuario, dirección de correo electrónico y una copia cifrada de su contraseña de la base de datos del foro.
Si ha utilizado esta contraseña y dirección de correo electrónico para autenticarse en cualquier otro sitio web, se le insta a restablecer la contraseña de esas cuentas inmediatamente , ya que el atacante puede usar la información personal comprometida para Accede a estas otras cuentas. Es importante tener una contraseña distinta para las diferentes cuentas [...]
Para mí, ese fragmento de texto suena como:
No utilizamos sales, y usamos MD5 para hacer hash de las contraseñas, por lo que debe cambiar su contraseña en cualquier lugar de la red porque muchos servicios hacen el mismo "método de hashing".
Entonces, la pregunta (en comparación con "Usamos métodos de cifrado de contraseñas fuertes con sales y demás, así que aquí está su inicio de sesión único, se le pedirá que cambie su contraseña al iniciar sesión, no es necesario cambiar sus contraseñas en todas partes") es: ¿ese tipo de reacción de un servicio comprometido le dice qué tan mala es su seguridad?