¿Qué puedo hacer si descubro que mi hash de contraseña se ha filtrado en pastebin?

Navega tus respuestas
37

Al ingresar mi correo electrónico en enlace , me dijeron que me habían enviado. Estoy en enlace

Ya lo intenté

  • para encontrar mi contraseña simplemente con md5-hashing todas mis contraseñas que podría pensar y compararlas con el hash en pass
  • para comprobar si alguien podría descifrar fácilmente mi contraseña colocando el hash en un "servicio de mesa arco iris" md5 en línea.
  • para encontrar el sitio web dañado buscando en mi correo las notificaciones de registro recibidas en la fecha de registro indicada en joined_on
  • para buscar el correo electrónico recibido de cualquier dirección de correo en la lista.
  • para enviar un correo electrónico al primero de la lista, preguntándole si sabe qué sitio es y / o si es posiblemente el propietario de ese sitio.

Todos estos cabos sueltos salieron en blanco.

Solo pude deducir que tiene que ser un sitio web realmente pequeño con un tema de LEGO, pero eso es todo.

Así que he cambiado todas mis contraseñas de mis cuentas más usadas, especialmente las cuentas de correo electrónico. Las muchas cuentas antiguas y dormidas que no sé que tengo, están fuera de su alcance.

¿Qué más puedo hacer?

    
pregunta Alexander 15.12.2015 - 10:00
fuente

4 respuestas

29

La primera regla es limpiar su acto: use un administrador de contraseñas y tenga una contraseña única , larga y aleatoria para CADA y TODOS sus servicios importantes (correo electrónico, google, etc.) y cambie todas sus contraseñas.

Luego, compruebe si se han realizado algunas transacciones misteriosas en sus cuentas (no específicamente en cuentas bancarias, tenga en cuenta: cualquier cosa a la que se pueda acceder mediante el correo electrónico comprometido). Eso debería darle una buena indicación de si se realizó el posible riesgo de ser violado.

Finalmente, tome cada cuenta posiblemente comprometida y piense cómo podría llevar a un problema continuo: ¿podría usarse alguna información extraída de esa cuenta en el futuro? Si es así, ¿hay alguna acción que pueda tomar para reducir las consecuencias? ¿El riesgo que corres vale el precio que vas a pagar para mitigarlo? Si no puedes mitigarlo, ¿puedes asegurarlo? ¿Vale la pena asegurarlo?

    
respondido por el Stephane 15.12.2015 - 10:35
fuente
11

@Stephane hace buenos puntos en su respuesta.

Además de esos puntos, también debe habilitar la autenticación de dos factores donde sea que se admita, y especialmente para sus cuentas de correo electrónico y para lugares donde podría haber almacenado información de pago.

En cuanto a las cuentas fuera de alcance, puede obtener información sobre algunas de ellas consultando las cookies de su navegador o las contraseñas guardadas de su navegador. Todos los navegadores modernos tienen opciones similares. Si lo tiene habilitado, Chrome puede sincronizar las contraseñas en línea para que pueda buscarlas y, si está en Windows, IE usa el Administrador de credenciales, accesible desde el panel de control.

    
respondido por el Mike Goodwin 15.12.2015 - 12:14
fuente
2

Todo lo que puede hacer es cambiar las contraseñas y verificar que no haya tenido lugar una actividad inusual. Incluso si logras descubrir qué sitio filtró el hash, no hay nada que puedan hacer ahora. Tenga en cuenta que:

  1. Puede tomar meses entre la filtración y el momento en que alguien rompe su hash de contraseña e intenta atacar. Observar que no hay actividad inusual no significa que esté seguro, las contraseñas aún deben ser cambiadas.
  2. Incluso si su contraseña está asociada con un inicio de sesión en particular (correo electrónico), no es seguro usar con ningún inicio de sesión a partir de ahora. Una vez que se revele su contraseña, se agregará a las listas de contraseñas que pueden usarse en ataques en cualquier sitio en el futuro. Los piratas informáticos hacen esto porque muchas personas tienden a reutilizar las contraseñas.

Hashear sus contraseñas y tratar de encontrar el hash en línea es una prueba inútil, ya que no sabe qué sal se usó cuando su contraseña fue hash.

    
respondido por el Dmitry Grigoryev 15.12.2015 - 12:55
fuente
0

Le prestaría especial atención a los servicios financieros. p.ej. Cualquier facilidad bancaria o método de pago. Recomiendo obtener una nueva tarjeta de crédito / débito si alguna vez ha utilizado una en línea, ya que no parece saber exactamente qué cuentas o servicios ha utilizado.

    
respondido por el aj- 16.12.2015 - 14:49
fuente

Lea otras preguntas en las etiquetas

¿Deben mantenerse en secreto los nombres de usuario? ¿Existe algún riesgo de seguridad cuando una autoridad de certificación se usa más que todas las demás?