El NY Times publicó recientemente una historia sobre cómo fueron hackeados durante un período de cuatro meses. Los ataques supuestamente fueron llevados a cabo por parte del ejército chino.
Una parte de la historia que me confundió fue la siguiente:
Desde allí, buscaron en los sistemas de The Times durante al menos dos Semanas antes de que identificaran el controlador de dominio que contiene el usuario. nombres y contraseñas codificadas o codificadas para cada empleado de Times.
Mientras que los hashes hacen que los hackers sean más difíciles, las contraseñas con hash se puede romper fácilmente con las llamadas tablas del arco iris - fácilmente Bases de datos disponibles de valores hash para casi todos los alfanuméricos Combinación de caracteres, hasta una cierta longitud. Algunos sitios web de hackers publica hasta 50 mil millones de valores hash.
Recuerdo que cuando las noticias sobre el robo de contraseñas de LinkedIn se anunciaron el año pasado, se criticó a LinkedIn por no haber eliminado sus contraseñas y también dijo que agregarán contraseñas en el futuro para mejorar la seguridad.
Si el NY Times tuviera contraseñas con sal, las tablas de arco iris no serían útiles para los piratas informáticos, ¿verdad? ¿El hecho de que las tablas del arco iris se mencionan en la historia significa que el reportero estaba confundido acerca de cómo habría ocurrido el hackeo? ¿O significa esto que el NY Times probablemente estaba usando contraseñas sin sal? Si es así, esto apunta a una mala seguridad por parte de NY Times (supongo que no sería demasiado sorprendente dado el alcance del hack).
Básicamente, mi pregunta es si el hecho de que las tablas de arco iris se mencionaron en la historia implica que el NY Times implementó políticas de seguridad deficientes. O bien, ¿las tablas arco iris siguen siendo útiles para organizaciones de piratería que tienen implementadas buenas prácticas de seguridad?