Hace 7 años | Por --511338-- a hipertextual.com
Publicado hace 7 años por --511338-- a hipertextual.com

Hacker se hacen con más 60 millones de contraseñas, con un buen porcentaje de las mismas, susceptibles de ser descifradas.

Comentarios

D

#22
¿En qué me he equivocado, querido Wintroll?

D

#25
Hablas de medir contraseñas y luego hablas de medir fortaleza de contraseñas. No lo entiendo.

M

#26 Pues es algo así como hablar de Linux cuando hablas de GNU-Linux, que siempre hay alguno que le busca los cinco pies al gato.

Te lo explicaba mejor pero luego me riñes.

D

#27
Sigo sin entenderlo, qué tiene que ver GNU Linux con las contraseñas, su longitud y su posterior transformación en un bloque de X bits mediante un algoritmo de resumen que genera bloques de X bits.

M

#28 Que linux es el kernel.

Lo que no entiendo yo es por qué metes las transformaciones en esta discusión. No te has leído el enlace.

D

#29
No sé, eres tú el que ha venido a hablar de contraseñas y bits, cuando no vienen a cuento los bits al hablar de contraseñas.

M

#30 Manda cojones que digas que no vienen a cuento los bits al hablar de contraseñas después de todo lo que te he puesto.

dF#3 es más seguro que 1111111111111111111111111111111 ¿por qué? ¿cómo lo expresas?

D

#31
La longitud de una contraseña se mide en caracteres. Otra cosa es que hables de la clave criptográfica, cuya longitud se mide en bits.
Depende de los caracteres que uses la clave criptográfica será más o menos larga, ya que el alfabeto a codificar tendrá más o menos símbolos, y por tanto necesitarás más o menos bits por símbolo.

La seguridad obviamente no depende únicamente de la longitud en caracteres de la contraseña o del numero de bits de la clave criptográfica. Habitualmente se emplean algoritmos de resumen que añaden aleatoriedad a la contraseña a la hora de generar la clave criptográfica.
Esa aleatoriedad se puede mejorar con una contraseña que también disponga de una buena aleatoriedad.

Dado un algoritmo de resumen predefinido, se pueden realizar ataques de diccionario contra la contraseña.

¿Cuál es el problema? No entiendo qué problema tienes.

M

#32 En que aquí estamos midiendo la fortaleza de la contraseña.

Tú dijiste, "Hablas de medir contraseñas y luego hablas de medir fortaleza de contraseñas"

Y yo te dije "Pues es algo así como hablar de Linux cuando hablas de GNU-Linux"

Es decir, que en todo momento hablamos de la fortaleza de la contraseña, no de su longitud, aunque abreviemos como cuando decimos Linux por GNU-Linux.

La fortaleza de una contraseña se expresa en bits, no en número de caracteres, que poco significan por todo lo que explicas.

D

#33
Tu hablarás de fortaleza, yo hablaba de longitud de la contraseña. Pero como siempre, te lo montas para soltar tu rollo. No tiene nada que ver con la abreviación de GNU Linux por Linux (que no es una abreviación, es un error y confusión del término, Linux es el kernel).

Ya puedes tener una contraseña cuya clave sea de 1024 bits, que si estos bits no son aleatorios gracias aun algoritmo de resumen, esos 1024 bits no tienen ninguna fortaleza. El comentario que supuestamente ha desatado ésta discusión es el siguiente:

Con una contraseña de 127bits me parece que el diccionario se queda corto.

Los bits miden longitud de clave, las contraseñas (passphrases) van en caracteres.

M

#34 No, tú hablabas de fortaleza de contraseñas:

"Necesitas contraseñas fuertes, " Comentario #9

No estamos hablando de la clave de 1024bits sino de la contraseña de X bits.

Una contraseña de 5 bits para una clave de 1024 bits puede ser: 1111111111
Una contraseña de 33 bits para la misma clave puede ser: dX.$1

La primera contraseña tiene una longitud de 10 caracteres pero una fortaleza de solo 5 bits por ser solo numérica y un mismo número repetido. Si la contraseña fuese "1042" a pesar de ser solo cuatro números, ya es una contraseña de 11 bits.

La segunda tiene una longitud de 5 caracteres pero una fortaleza de 33bits, por tener minúsculas, mayúsculas, números, símbolos y aleatoria.

D

#35
A ver: https://en.wikipedia.org/wiki/Key_(cryptography)#Key_vs_Password

Y repito, la fortaleza de una contraseña no se mide en bits. Ni en caracteres. Ahí tú has querido soltar tu rollo de los bits y ya está. Un indicativo de fortaleza es la entropia, que se mide en bits: https://en.wikipedia.org/wiki/Password_strength
La fortaleza de una contraseña es en función de longitud de la contraseña, complejidad, e impredicibilidad.

Así pues, el comentario que desató la discusión, estaba equivocado. Una contraseña (passphrase) tiene caracteres, no bits. Otra cosa es la entropia de la contraseña.

M

#36 La fortaleza se mide en entropia, que se mide en bits

¿tú no encuentras ahí algo raro?

Osea, el tamaño de una carretera no se mide en kilómetros. El tamaño se mide en longitud, que se mide en kilómetros. WTF?

Entropía:

En seguridad informática, la entropía de una contraseña es la cantidad de aleatoriedad para hacer a la misma difícil de adivinar. Este término se expresa en términos de bits, y define una medida en el número de intentos que debe realizar un programa de computación para adivinar la misma. Una contraseña con entropía de n bits puede ser encontrada en 2n intentos. Así por ejemplo una contraseña con entropía de 1 bit debería poderse adivinar en 2 1intentos que es igual a 2 intentos. El matemático Claude Shannon fué el primero en introducir el termino de entropía en la teoría de la información.


Bonus:
"Una contraseña (passphrase) tiene caracteres, no bits."

Es que aquí estamos hablando de la fortaleza de esa contraseña, no de lo que tiene la contraseña.


Y " Entropia es indicativo de fortaleza. " y "la entropia de la contraseña, la cual se mide en bits" -> por tanto es correcto decir una contraseña de 127 bits.

D

#37
Sí, veo algo raro, porque la entropia (medida en bits) es un indicativo de fortaleza. La fortaleza de una contraseña es en función de longitud de la contraseña, complejidad, e impredicibilidad.

M

#38 Guai, estamos de acuerdo en eso.

Entonces, ¿tú no crees que cuando te dicen que tienen una contraseña de 127bits, te están diciendo la fortaleza de esa contraseña?

D

#39
Lo que me están diciendo es que la longitud de la contraseña es de 127 bits, lo cual es erróneo. La longitud se mide en caracteres. No es cuestión de creencias.

M

#40 No, no te están diciendo la longitud de la contraseña, te están diciendo la fortaleza. Si te dijesen la longitud, te dirían el número de caracteres.

Si a ti te dicen que una vara tiene 2 metros ¿tú crees que te están diciendo el peso de la vara? No, ¿verdad? porque metros es medida de longitud, no de peso. Pues con esto lo mismo.

D

#41
En ningún sitio web verás "escribe una contraseña con una entropia de 127 bits", así que no se puede sobreentender que cuando te digan contraseña de 127 bits se refieran a su entropia, cuando siempre te piden longitud.

De hecho incluso podrías entender que al decir contraseña de 127 bits es una contraseña de 16 ó 19 carácteres según ASCII de 7 bits o ASCII de 8 bits por caracter.

M

#42 ¿y quién coño te habla de sitios webs y de lo que estos te digan o dejen de decir?

Lo que dices es como decir que cuando te hablan de kilómetros no se puede sobreentender que hablan de longitud, porque a lo mejor es el peso.

D

#43
Nah, está demasiado pillada por los pelos tu comparación. Poca voluntad tienes.

M

#44 A ver, tus propias palabras:

"porque la entropia (medida en bits) es un indicativo de fortaleza."

"Un indicativo de fortaleza es la entropia, que se mide en bits"

¿por qué dices que está pillada por los pelos si tú has demostrado que lo entiendes perfectamente? Son ganas de discutir.

La longitud se mide en metros, la fortaleza en bits.

D

#45
Los caracteres también se miden en bits.

M

#46 En cierto modo está relacionado, pero ya hay que ser retorcido. Cuando alguien te quiere hablar de caracteres, te dirán uno dos o tres, no 24 bits.

D

#47
Cuando alguien te quiere hablar de longitud de una contraseña, te dirá dos o tres caracteres, no bits de entropia.

M

#48 Es lo que te dije. Por eso cuando te hablan de bits no se te puede ir la cabeza a la longitud de la contraseña.

D

#49
Si estás hablando de longitud de contraseña como sinónimo de fortaleza al ser un componente de fortaleza, sí.

mazzeru

#49 #50 más de 30 comentarios (de los 50 totales del meneo) para ver quién la tiene más grande.

¿Os la medís en centímetros o en bits?

M

#50 si hablas de longitud como sinonimo de fortaleza metes la pata.

#51 yo en hexabits, el en nanometros.

D

#52
No te digo yo que no, pero para decir eso no hacen falta 30 comentarios. Es como GNU Linux vs Linux a secas.

M

#53 Pasamos de " qué tiene que ver GNU Linux con las contraseñas," ( #28 ) a "Es como GNU Linux vs Linux a secas. "

Eres un cachondo.

Reconócelo, en el fondo me quieres.

D

#54
Los que se pelean se desean. Es una frase en plural.

D

#55 por favor, seguir lol

D

#54 #55 venga, ya que nadie lo dice lo digo yo: buscad una habitación ya!!

otama

#60 Pero una con cámara oculta!!! Yo quiero ver cómo sigue esto! lol

D

#54 Habia una vez.....
Uuuun circooooo .....

D

#51 En la puta entropia que han metido en el puto hilo, un poco mas y se abre un agujero negro y sale cthulhu a ostiarios.

D

#29 déjalo,es un troll

M

30 millones de contraseñas están cifradas con bcript de forma segura. Las restantes, unos 32 millones que el artículo dice que no son seguras, fueron cifradas con SHA1 que no es tan seguro, pero estaban recifradas así que al final también se consideran seguras.

#5 Son dos cosas relacionadas pero diferentes: http://www.genbeta.com/actualidad/dropbox-hackeado-de-nuevo-el-resultado-mas-de-68-millones-de-cuentas-comprometidas

Unregistered

#80 Como dijo #7 la mitad de las contraseñas filtradas (unos 32 millones) son "más vulnerables", con cifrado SHA1 + un recifrado "propio" de DropBox.

Pilfer

#5 literalmente dicen "que creen que se robaron" em 2012.

Realmente a mi me preocupa mas que tarden 4 años en darse cuenta...

D

#74 Avisaron en 2012 a todo el mundo para que cambiase de contraseña. A los que os dio pereza... a joderse.

Pilfer

#79 No se porque dices eso, pero si quieres un caramelito toma 🍬 🍬

D

#100 Pues no sé por qué lo diré, a mí me avisaron y cambié la contraseña, pero decirlo no tiene mucho sentido, ¿no? Será que me aburro, no sé.

D

#5 "Obtuvieron los hash de las contraseñas en 2012"

O sea, que a menos que consigan adivinar tu contraseña, no han obtenido nada.

D

#18
Pues muy bien.

D

#20
Vale, pero eso te lo quedas para ti, no hace falta que vengas aquí a responderme con lo que encuentres.

La_patata_española

A quien le pueda interesar una alternativa de software libre y descentralizada (con todos sus pros y sus contras) que funciona bastante bien (en mi humilde opinión):
https://syncthing.net

spidey

#67 Owncloud, Seafile...

D

Lo importante es siempre dividir los archivos en personales, laborales y TOPSECRET.

Par los archivos personales y laborales que aun cuando no queremos que estén circulando por Internet tampoco sería una gran tragedia si sucediera, es bueno tenerlos respaldados localmente y con servicios en la nube como DropBox o Google Drive.


TOPSECRET: Estos documentos que no queremos que sean públicos por nada del mundo, es mejor tenerlos respaldados localmente en formatos de archivos cifrados con la máxima seguridad y de preferencia en ordenadores o discos que no estén conectados a Internet permanentemente, o bien si vamos a subirlos a la nube que tengan una o dos capas de cifrado.

jonolulu

A mí no me han pillado roll

https://blogs.dropbox.com/dropbox/2015/08/u2f-security-keys/

Ojalá U2F se convirtiera en un verdadero estándar. Lista de servicios soportados

http://www.dongleauth.info/

D

#12
Google usa características específicas de Chrome/Chromium:
https://addons.mozilla.org/es/firefox/addon/u2f-support-add-on/reviews/802523/

Es decir, para usar U2F con Google tienes que tener Chrome/Chromium.

a

#12 La U2F sigue siendo vulnerable a un robo de la base de datos. La contraseña es el "token generador".

jonolulu

#97 Ante un robo de base de datos poco se puede hacer, pero sólo es vulnerable en ese servicio.

A cada conexión un desafío criptográfico firmado por la clave privada de la llave. Los servicios sólo tienen la pública

rafran

Pues nada, a cambiar la contraseña toca

D

#1 Otra vez.

D

#4 lol

D

#4 Como si saliera de ellos...

D

#56 JAJAJJAJa

D

#1 Corriendo, me cagon las ostias pachi !!!

p

#1 Estos robos son un puto coñazo, tocando contraseñas cada poco, estoy pensando en darme de baja de muchos servicios para evitar esto. No se vosotros, pero yo no uso una contraseña exclusiva por servicio, tengo como 5 o 6 dependiendo del nivel de seguridad que quiero, pero si me roban la de Dropbox probarán en otros servicios y en alguno coincide, así que me toca cambiar la de Dropbox y de varias páginas más.

rafran

#86 Me pasa exactamente igual que a ti... he tenido que ir servicio tras servicio cambiando la contraseña a todos

redscare

#86 Usa un gestor de contraseñas. O usa una variante en cada sitio. Yo añado parte del nombre de la web al final de las contraseñas para tener una distinta en cada sitio fácil de recordar. No es tan seguro como tener una completamente diferente, pero es una mejora.

redscare

#1 El problema no es tu contraseña en dropbox, a los hackers se la pelan tus archivos. El peligro es si usas el mismo usuario/email en otros sitios con la misma contraseña (tu banco, por ejemplo). Cuando ocurre esto lo verdaderamente importante es cambiar la contraseña en OTROS sitios donde uses la misma.

D

#62 Pues que los productos de Microsoft históricamente han tenido deficiencias de seguridad a mansalva.

inar

#63 ¿Y qué tiene que ver eso con la noticia de Dropbox?
#83 ???

u

#63 Todos los productos tienen deficiencias de seguridad.

Lo que ocurre son dos cosas:

- Por una parte el impacto, debido a que los productos de MS son usados de manera masiva
- Por otra la "corrección" del mismo. Que la politica de MS ha sido siempre bastante complicada en esto.

Varlak_

#83 pero es que no lo es

D

#15
Una cosa es la longitud de bloque de la clave criptográfica (128, 256, 512, 1024, 2048, 4096, ...) y otra es la longitud de la contraseña.

Trimax

Por si acaso, tengo activada la autenticación en 2 pasos.

p

Por esto, lo que queráis guardar de forma privada en Dropbox ha de estar cifrado.

D

Microsoft way of life

inar

#2 ¿A qué te refieres?

A

#2 Los servidores de Microsoft a día de hoy no han sufrido ningún robo de datos ni ataque de este tipo. Probablemente te refieras a vulnerabilidades en software, pero a juzgar por las estadísticas en CVE, Microsoft no es un caso especial comparado con los demás.

D

#78 No he especificado. Solo digo que es una más para los de Microsoft.

D

La nube es segura. Es genial imaginar tus documentos personales desfilando por todos sitios.

D

Ahora a esperar el pastebin y ver si estas afectado.

d

#65 No hace falta. Puedes chequear aquí:
https://haveibeenpwned.com/

Mi mail aparece en dropbox...

D

#72 Si has cambiado tu contraseña después de 2012, y/o tienes activado el 2-factor, y/o siempre has usado una contraseña decente... da igual que alguien tenga el hash con salt de tu contraseña de 2012.

R

¿Alguien puede explicarme por que bcrypt es seguro? ¿o es solo más seguro?

Es decir, un hash de una password débil puede atacarse mediante diccionario (hay BBDD de hash-->pass)

¿Con bcrypt no puedes hacer lo mismo? entiendo que para una contraseña no te compense, pero para 30 millones... ¿no puedes generar un diccionario de hash con el salto que le haya puesto dropbox y después comparar los 32 millones contra ese diccionario? por lo que he entendido el salto forma parte del propio hash y el número de iteracciones también. ¿que se me escapa?

Gracias

D

Hacker se hacen con más 60 millones de contraseñas, con un buen porcentaje de las mismas, susceptibles de ser descifradas.
Errónea o sensacionalista. Si no han sido averiguadas, no se han hecho con/robado las contraseñas/credenciales.

D

Si, pero si empleas ataque de diccionario y tu contraseña es fácilmente desmontada con eso, pues cagado la has.
Necesitas contraseñas fuertes, y es difícil recordarlas. Los gestores de contraseñas tampoco son infalibles, aunque desde luego incrementan notablemente la fortaleza de las contraseñas.

Cehona

#9 Con una contraseña de 127bits me parece que el diccionario se queda corto.
Otra cosa que ponga mi nombre y dni juntos.

D

#10
¿Contraseñas de 127bits? Serán caracteres. En cualquier caso, si tus contraseñas emplean un patrón, su fortaleza disminuye.

miguelpedregosa

#9 esto ...

D

#66 Sí, esa es mi contraseña, "correct horse battery staple"... dicen que es muy segura

Zeioth

#66 Tiene una alta entropia pero con un ataque de diccionario la descifras en minutos. Una contraseña escrita en pseudo 1337 es mucho mas dificil de romper. Ejemplo: c0rr3ctb4tt3ryst4ppl3

dreierfahrer

#9 para eso tenemos la nemotecnia:D

G

¿En serio que hay que cambiar otra vez? Entre estos y los de eBay cada dos por tres dan ganas de mandarlos al carajo...

MirloBlanco

Pues les va a llevar tiempo procesar 60 millones de cuentas...

1 2