#93:
#84 Bcrypt es seguro porque es un hash muy lento de generar y diseñado para no ser optimizado por GPU, por tanto ralentiza muchísimo un ataque de fuerza bruta.
Y en cuanto al diccionario, entiendo que tu idea es:
- Generas un diccionario de hashs.
- Comparas ese diccionario con los 30 millones de contraseña.
Para eso hay una protección: la sal.
Cuando se va a guardar una contraseña, se genera un código aleatorio, se hashea con la contraseña y se guarda con la contraseña.
Por ejemplo, la contraseña "casa", se concatena con la sal aleatoria "csfa+f.3314", se realiza por tanto el hash de "casacsfa+f.3314". Su hash sale:
53asfasf8413
Necesitamos la sal para verificarla luego, asi que guardaremos sal+hash (pongo el guion para diferenciar):
csfa+f.3314-53asfasf8413
Bien, cual es la gracia de esto si estamos guardando la sal a la vista? Pues que la sal es distinta para cada contraseña, por tanto dos contraseñas "casa" tendrán diferentes hash. Ya no puedes hacer un diccionario y probar con todas, tienes que ir probando una a una.
Por si esto fuera poco, a veces se añade "la pimienta". Consiste en poner un codigo secreto en cada contraseña para fortalecerla más, por ejemplo, los de dropbox deciden añadir "#331453fasgsgs" a cada contraseña. Por tanto "casa", pasaría a ser "casa#331453fasgsgs", por tanto el proceso completo sería:
sal + hash(sal + contraseña + pimienta);
La pimienta es una constante para todas las contraseñas y se guarda en el software. La idea esque la base de datos puede estar comprometida, pero el software quizás no (por estar en maquinas distintas por ejemplo).
#22:
#21 Ah, perdone usted por intentarle explicar el por qué el equivocado es usted, no nosotros. Uno lo hizo con buena voluntad. La próxima vez simplemente le mandaré a la mierda y le instaré a que busque en el puto Google.
Hay que joderse.
#5:
Ya me llegó al correo el sábado pasado una notificación para cambiar la contraseña.
Obtuvieron los hash de las contraseñas en 2012 y tardan 4 años en forzar el cambio de contraseña ¡bravo!.
Nuestros equipos de seguridad siempre están pendientes de nuevas amenazas a nuestros usuarios. Gracias a estas comprobaciones habituales, identificamos una antigua serie de credenciales de usuarios de Dropbox (direcciones de correo y contraseñas con algoritmos hash y salt) que creemos que se obtuvieron en 2012. Según nuestros análisis, estas credenciales estarían relacionadas con un incidente que revelamos en aquella época.
Contenido del mail:
We’re reaching out to let you know that if you haven’t updated your Dropbox password since mid-2012, you’ll be prompted to update it the next time you sign in. This is purely a preventative measure, and we’re sorry for the inconvenience.
To learn more about why we’re taking this precaution, please visit this page on our Help Center. If you have any questions, feel free to contact us at password-reset-help@dropbox.com.
Thanks,
The Dropbox Team
#4:
#3 jeje tras entrar en mi cuenta mira lo que me dice:
Cambia tu contraseña
We expired your password as a security precaution. Consulta nuestro Centro de ayuda para obtener más información sobre la caducidad de las contraseñas y sobre cómo proteger tu cuenta.
#13:
Que mal lo van a pasar las empresas entre el Reglamento de Privacidad, la futura Directiva de e-Privacidad y la Directiva de cyberseguridad (recientemente aprobada). En la cual tendrán que notificar inmediatamente incidentes graves de seguridad en el momento que se conozcan y si no sanción al canto.
Salu2
#18:
#17 Sin embargo, en Keepass te indican la calidad de tu contraseña en bits
Añado:" La longitud: cuanto mayor sea el número de bits de información en la clave, mayor es el número de combinaciones que debe probar un atacante que use la pura fuerza bruta. Por ejemplo, una clave compuesta de dos cifras necesita 100 intentos como máximo para ser descubierta, mientras que una clave de cinco dígitos requiere 100.000 intentos como máximo. "
#21 Ah, perdone usted por intentarle explicar el por qué el equivocado es usted, no nosotros. Uno lo hizo con buena voluntad. La próxima vez simplemente le mandaré a la mierda y le instaré a que busque en el puto Google.
Obtuvieron los hash de las contraseñas en 2012 y tardan 4 años en forzar el cambio de contraseña ¡bravo!.
Nuestros equipos de seguridad siempre están pendientes de nuevas amenazas a nuestros usuarios. Gracias a estas comprobaciones habituales, identificamos una antigua serie de credenciales de usuarios de Dropbox (direcciones de correo y contraseñas con algoritmos hash y salt) que creemos que se obtuvieron en 2012. Según nuestros análisis, estas credenciales estarían relacionadas con un incidente que revelamos en aquella época.
Contenido del mail:
We’re reaching out to let you know that if you haven’t updated your Dropbox password since mid-2012, you’ll be prompted to update it the next time you sign in. This is purely a preventative measure, and we’re sorry for the inconvenience.
To learn more about why we’re taking this precaution, please visit this page on our Help Center. If you have any questions, feel free to contact us at password-reset-help@dropbox.com.
#3 jeje tras entrar en mi cuenta mira lo que me dice:
Cambia tu contraseña
We expired your password as a security precaution. Consulta nuestro Centro de ayuda para obtener más información sobre la caducidad de las contraseñas y sobre cómo proteger tu cuenta.
Que mal lo van a pasar las empresas entre el Reglamento de Privacidad, la futura Directiva de e-Privacidad y la Directiva de cyberseguridad (recientemente aprobada). En la cual tendrán que notificar inmediatamente incidentes graves de seguridad en el momento que se conozcan y si no sanción al canto.
#17 Sin embargo, en Keepass te indican la calidad de tu contraseña en bits
Añado:" La longitud: cuanto mayor sea el número de bits de información en la clave, mayor es el número de combinaciones que debe probar un atacante que use la pura fuerza bruta. Por ejemplo, una clave compuesta de dos cifras necesita 100 intentos como máximo para ser descubierta, mientras que una clave de cinco dígitos requiere 100.000 intentos como máximo. "
A quien le pueda interesar una alternativa de software libre y descentralizada (con todos sus pros y sus contras) que funciona bastante bien (en mi humilde opinión): https://syncthing.net
#84 Bcrypt es seguro porque es un hash muy lento de generar y diseñado para no ser optimizado por GPU, por tanto ralentiza muchísimo un ataque de fuerza bruta.
Y en cuanto al diccionario, entiendo que tu idea es:
- Generas un diccionario de hashs.
- Comparas ese diccionario con los 30 millones de contraseña.
Para eso hay una protección: la sal.
Cuando se va a guardar una contraseña, se genera un código aleatorio, se hashea con la contraseña y se guarda con la contraseña.
Por ejemplo, la contraseña "casa", se concatena con la sal aleatoria "csfa+f.3314", se realiza por tanto el hash de "casacsfa+f.3314". Su hash sale:
53asfasf8413
Necesitamos la sal para verificarla luego, asi que guardaremos sal+hash (pongo el guion para diferenciar):
csfa+f.3314-53asfasf8413
Bien, cual es la gracia de esto si estamos guardando la sal a la vista? Pues que la sal es distinta para cada contraseña, por tanto dos contraseñas "casa" tendrán diferentes hash. Ya no puedes hacer un diccionario y probar con todas, tienes que ir probando una a una.
Por si esto fuera poco, a veces se añade "la pimienta". Consiste en poner un codigo secreto en cada contraseña para fortalecerla más, por ejemplo, los de dropbox deciden añadir "#331453fasgsgs" a cada contraseña. Por tanto "casa", pasaría a ser "casa#331453fasgsgs", por tanto el proceso completo sería:
sal + hash(sal + contraseña + pimienta);
La pimienta es una constante para todas las contraseñas y se guarda en el software. La idea esque la base de datos puede estar comprometida, pero el software quizás no (por estar en maquinas distintas por ejemplo).
Lo importante es siempre dividir los archivos en personales, laborales y TOPSECRET.
Par los archivos personales y laborales que aun cuando no queremos que estén circulando por Internet tampoco sería una gran tragedia si sucediera, es bueno tenerlos respaldados localmente y con servicios en la nube como DropBox o Google Drive.
TOPSECRET: Estos documentos que no queremos que sean públicos por nada del mundo, es mejor tenerlos respaldados localmente en formatos de archivos cifrados con la máxima seguridad y de preferencia en ordenadores o discos que no estén conectados a Internet permanentemente, o bien si vamos a subirlos a la nube que tengan una o dos capas de cifrado.
#2 Los servidores de Microsoft a día de hoy no han sufrido ningún robo de datos ni ataque de este tipo. Probablemente te refieras a vulnerabilidades en software, pero a juzgar por las estadísticas en CVE, Microsoft no es un caso especial comparado con los demás.
30 millones de contraseñas están cifradas con bcript de forma segura. Las restantes, unos 32 millones que el artículo dice que no son seguras, fueron cifradas con SHA1 que no es tan seguro, pero estaban recifradas así que al final también se consideran seguras.
#1 Estos robos son un puto coñazo, tocando contraseñas cada poco, estoy pensando en darme de baja de muchos servicios para evitar esto. No se vosotros, pero yo no uso una contraseña exclusiva por servicio, tengo como 5 o 6 dependiendo del nivel de seguridad que quiero, pero si me roban la de Dropbox probarán en otros servicios y en alguno coincide, así que me toca cambiar la de Dropbox y de varias páginas más.
#36 La fortaleza se mide en entropia, que se mide en bits
¿tú no encuentras ahí algo raro?
Osea, el tamaño de una carretera no se mide en kilómetros. El tamaño se mide en longitud, que se mide en kilómetros. WTF?
Entropía:
En seguridad informática, la entropía de una contraseña es la cantidad de aleatoriedad para hacer a la misma difícil de adivinar. Este término se expresa en términos de bits, y define una medida en el número de intentos que debe realizar un programa de computación para adivinar la misma. Una contraseña con entropía de n bits puede ser encontrada en 2n intentos. Así por ejemplo una contraseña con entropía de 1 bit debería poderse adivinar en 2 1intentos que es igual a 2 intentos. El matemático Claude Shannon fué el primero en introducir el termino de entropía en la teoría de la información.
Bonus:
"Una contraseña (passphrase) tiene caracteres, no bits."
Es que aquí estamos hablando de la fortaleza de esa contraseña, no de lo que tiene la contraseña.
Y " Entropia es indicativo de fortaleza. " y "la entropia de la contraseña, la cual se mide en bits" -> por tanto es correcto decir una contraseña de 127 bits.
#1 El problema no es tu contraseña en dropbox, a los hackers se la pelan tus archivos. El peligro es si usas el mismo usuario/email en otros sitios con la misma contraseña (tu banco, por ejemplo). Cuando ocurre esto lo verdaderamente importante es cambiar la contraseña en OTROS sitios donde uses la misma.
#63 Todos los productos tienen deficiencias de seguridad.
Lo que ocurre son dos cosas:
- Por una parte el impacto, debido a que los productos de MS son usados de manera masiva
- Por otra la "corrección" del mismo. Que la politica de MS ha sido siempre bastante complicada en esto.
#66 Tiene una alta entropia pero con un ataque de diccionario la descifras en minutos. Una contraseña escrita en pseudo 1337 es mucho mas dificil de romper. Ejemplo: c0rr3ctb4tt3ryst4ppl3
Es una estupidez tener que andar cambiando las contraseñas, cuando si la contraseña no está cifrada (o está cifrada con métodos/algoritmos inseguros) en el sitio poco importa lo larga o complicada que sea sino que la podrán ver igual.
Ya digo que las nuevas directivas (e-Privacy y cyberseguridad) y Reglamento de Protección de Datos, las empresas que no notifiquen inmediatamente un incidente como este, la van a llevar clara y resulta que el ataque se habría producido en 2012 y este sería un remanente.
¿Alguien puede explicarme por que bcrypt es seguro? ¿o es solo más seguro?
Es decir, un hash de una password débil puede atacarse mediante diccionario (hay BBDD de hash-->pass)
¿Con bcrypt no puedes hacer lo mismo? entiendo que para una contraseña no te compense, pero para 30 millones... ¿no puedes generar un diccionario de hash con el salto que le haya puesto dropbox y después comparar los 32 millones contra ese diccionario? por lo que he entendido el salto forma parte del propio hash y el número de iteracciones también. ¿que se me escapa?
#31
La longitud de una contraseña se mide en caracteres. Otra cosa es que hables de la clave criptográfica, cuya longitud se mide en bits.
Depende de los caracteres que uses la clave criptográfica será más o menos larga, ya que el alfabeto a codificar tendrá más o menos símbolos, y por tanto necesitarás más o menos bits por símbolo.
La seguridad obviamente no depende únicamente de la longitud en caracteres de la contraseña o del numero de bits de la clave criptográfica. Habitualmente se emplean algoritmos de resumen que añaden aleatoriedad a la contraseña a la hora de generar la clave criptográfica.
Esa aleatoriedad se puede mejorar con una contraseña que también disponga de una buena aleatoriedad.
Dado un algoritmo de resumen predefinido, se pueden realizar ataques de diccionario contra la contraseña.
¿Cuál es el problema? No entiendo qué problema tienes.
No estamos hablando de la clave de 1024bits sino de la contraseña de X bits.
Una contraseña de 5 bits para una clave de 1024 bits puede ser: 1111111111
Una contraseña de 33 bits para la misma clave puede ser: dX.$1
La primera contraseña tiene una longitud de 10 caracteres pero una fortaleza de solo 5 bits por ser solo numérica y un mismo número repetido. Si la contraseña fuese "1042" a pesar de ser solo cuatro números, ya es una contraseña de 11 bits.
La segunda tiene una longitud de 5 caracteres pero una fortaleza de 33bits, por tener minúsculas, mayúsculas, números, símbolos y aleatoria.
#40 No, no te están diciendo la longitud de la contraseña, te están diciendo la fortaleza. Si te dijesen la longitud, te dirían el número de caracteres.
Si a ti te dicen que una vara tiene 2 metros ¿tú crees que te están diciendo el peso de la vara? No, ¿verdad? porque metros es medida de longitud, no de peso. Pues con esto lo mismo.
#46 En cierto modo está relacionado, pero ya hay que ser retorcido. Cuando alguien te quiere hablar de caracteres, te dirán uno dos o tres, no 24 bits.
Si, pero si empleas ataque de diccionario y tu contraseña es fácilmente desmontada con eso, pues cagado la has.
Necesitas contraseñas fuertes, y es difícil recordarlas. Los gestores de contraseñas tampoco son infalibles, aunque desde luego incrementan notablemente la fortaleza de las contraseñas.
Hacker se hacen con más 60 millones de contraseñas, con un buen porcentaje de las mismas, susceptibles de ser descifradas.
Errónea o sensacionalista. Si no han sido averiguadas, no se han hecho con/robado las contraseñas/credenciales.
#27
Sigo sin entenderlo, qué tiene que ver GNU Linux con las contraseñas, su longitud y su posterior transformación en un bloque de X bits mediante un algoritmo de resumen que genera bloques de X bits.
#41
En ningún sitio web verás "escribe una contraseña con una entropia de 127 bits", así que no se puede sobreentender que cuando te digan contraseña de 127 bits se refieran a su entropia, cuando siempre te piden longitud.
De hecho incluso podrías entender que al decir contraseña de 127 bits es una contraseña de 16 ó 19 carácteres según ASCII de 7 bits o ASCII de 8 bits por caracter.
#72 Si has cambiado tu contraseña después de 2012, y/o tienes activado el 2-factor, y/o siempre has usado una contraseña decente... da igual que alguien tenga el hash con salt de tu contraseña de 2012.
#86 Usa un gestor de contraseñas. O usa una variante en cada sitio. Yo añado parte del nombre de la web al final de las contraseñas para tener una distinta en cada sitio fácil de recordar. No es tan seguro como tener una completamente diferente, pero es una mejora.
#102 que no se porque me lo dices a mi, de manera totalmente condescendiente y sin venir a cuento. Y sin saber si yo lo cambié.
En em 2012 me llego el aviso y lo cambié, por cojones obviamente.
La noticia dice que en 2012 robaron los mails, y ahora, en 2016, confirman que tb iban los hash en el robo.
Sin contar la pasividad de los usuarios, a mi me parece muy GRAVE que una compañía grande confirme 4 años después un fallo de esas características. Aparte de que no avisaron, "caducaron" todas las contraseñas y toco cambiarlas, NO AVISARON DE NADA enel mail de cambio de pass. Con lo que si usas la misma pass para otros servicios te los podrían robar también.
#103 ¿Que te digo a ti qué? Menudos aires de grandeza. Que tú no eres nadie, os lo digo a todos los que me leéis por igual.
En 2012 recomendaron/obligaron a cambiar la contraseña, poco después de la intrusión. A partir de ahí, el resto es irrelevante, como si hubiesen publicado las listas de contraseñas viejas para que las cogiese cualquiera.
De hecho, es lo que deberían haber hecho, para evitar a los listillos que, cuando les obligan a cambiar de contraseña, van y meten una cualquiera... y luego vuelven a cambiarla a la vieja. Así les habrían dado una buena lección.
El que usase la misma pass para otros servicios, ya estaba distribuyéndola entre otros servicios, así que esos ni entran en la posible pérdida de seguridad, cuando no tenían ninguna de antemano. A joderse y listo.
Y repito, la fortaleza de una contraseña no se mide en bits. Ni en caracteres. Ahí tú has querido soltar tu rollo de los bits y ya está. Un indicativo de fortaleza es la entropia, que se mide en bits: https://en.wikipedia.org/wiki/Password_strength
La fortaleza de una contraseña es en función de longitud de la contraseña, complejidad, e impredicibilidad.
Así pues, el comentario que desató la discusión, estaba equivocado. Una contraseña (passphrase) tiene caracteres, no bits. Otra cosa es la entropia de la contraseña.
#37
Sí, veo algo raro, porque la entropia (medida en bits) es un indicativo de fortaleza. La fortaleza de una contraseña es en función de longitud de la contraseña, complejidad, e impredicibilidad.
Comentarios
#21 Ah, perdone usted por intentarle explicar el por qué el equivocado es usted, no nosotros. Uno lo hizo con buena voluntad. La próxima vez simplemente le mandaré a la mierda y le instaré a que busque en el puto Google.
Hay que joderse.
Ya me llegó al correo el sábado pasado una notificación para cambiar la contraseña.
Comunicado oficial de DropBox: https://www.dropbox.com/l/fpMLBMLBaWFpSfHhiVZ4Ks/help/9257
Obtuvieron los hash de las contraseñas en 2012 y tardan 4 años en forzar el cambio de contraseña ¡bravo!.
Nuestros equipos de seguridad siempre están pendientes de nuevas amenazas a nuestros usuarios. Gracias a estas comprobaciones habituales, identificamos una antigua serie de credenciales de usuarios de Dropbox (direcciones de correo y contraseñas con algoritmos hash y salt) que creemos que se obtuvieron en 2012. Según nuestros análisis, estas credenciales estarían relacionadas con un incidente que revelamos en aquella época.
Contenido del mail:
We’re reaching out to let you know that if you haven’t updated your Dropbox password since mid-2012, you’ll be prompted to update it the next time you sign in. This is purely a preventative measure, and we’re sorry for the inconvenience.
To learn more about why we’re taking this precaution, please visit this page on our Help Center. If you have any questions, feel free to contact us at password-reset-help@dropbox.com.
Thanks,
The Dropbox Team
#3 jeje tras entrar en mi cuenta mira lo que me dice:
Cambia tu contraseña
We expired your password as a security precaution. Consulta nuestro Centro de ayuda para obtener más información sobre la caducidad de las contraseñas y sobre cómo proteger tu cuenta.
Que mal lo van a pasar las empresas entre el Reglamento de Privacidad, la futura Directiva de e-Privacidad y la Directiva de cyberseguridad (recientemente aprobada). En la cual tendrán que notificar inmediatamente incidentes graves de seguridad en el momento que se conozcan y si no sanción al canto.
Salu2
#17 Sin embargo, en Keepass te indican la calidad de tu contraseña en bits
Añado:" La longitud: cuanto mayor sea el número de bits de información en la clave, mayor es el número de combinaciones que debe probar un atacante que use la pura fuerza bruta. Por ejemplo, una clave compuesta de dos cifras necesita 100 intentos como máximo para ser descubierta, mientras que una clave de cinco dígitos requiere 100.000 intentos como máximo. "
http://keepass.info/news/n070901_1.08_create.png
#19 Pues me alegro pero para ampliar información, busqué y encontré esto: https://trucosinformaticos.wordpress.com/2014/06/29/cuantos-bits-tiene-mi-contrasena/
A quien le pueda interesar una alternativa de software libre y descentralizada (con todos sus pros y sus contras) que funciona bastante bien (en mi humilde opinión):
https://syncthing.net
#23 En pretender decir que las contraseñas no se miden en bits sino en caracteres: "¿Contraseñas de 127bits? Serán caracteres."
De hecho, es más correcto medir la fortaleza en bits que en caracteres. Una contraseña de 18 caracteres puede ser más débil que una de cinco.
Mi querido Estanozololl
#84 Bcrypt es seguro porque es un hash muy lento de generar y diseñado para no ser optimizado por GPU, por tanto ralentiza muchísimo un ataque de fuerza bruta.
Y en cuanto al diccionario, entiendo que tu idea es:
- Generas un diccionario de hashs.
- Comparas ese diccionario con los 30 millones de contraseña.
Para eso hay una protección: la sal.
Cuando se va a guardar una contraseña, se genera un código aleatorio, se hashea con la contraseña y se guarda con la contraseña.
Por ejemplo, la contraseña "casa", se concatena con la sal aleatoria "csfa+f.3314", se realiza por tanto el hash de "casacsfa+f.3314". Su hash sale:
53asfasf8413
Necesitamos la sal para verificarla luego, asi que guardaremos sal+hash (pongo el guion para diferenciar):
csfa+f.3314-53asfasf8413
Bien, cual es la gracia de esto si estamos guardando la sal a la vista? Pues que la sal es distinta para cada contraseña, por tanto dos contraseñas "casa" tendrán diferentes hash. Ya no puedes hacer un diccionario y probar con todas, tienes que ir probando una a una.
Por si esto fuera poco, a veces se añade "la pimienta". Consiste en poner un codigo secreto en cada contraseña para fortalecerla más, por ejemplo, los de dropbox deciden añadir "#331453fasgsgs" a cada contraseña. Por tanto "casa", pasaría a ser "casa#331453fasgsgs", por tanto el proceso completo sería:
sal + hash(sal + contraseña + pimienta);
La pimienta es una constante para todas las contraseñas y se guarda en el software. La idea esque la base de datos puede estar comprometida, pero el software quizás no (por estar en maquinas distintas por ejemplo).
#4 Robo de contraseñas? Qué va, que estaban caducadas, mira aquí en la tapa te pone la fecha de caducidad, que no la habías visto.
Lo importante es siempre dividir los archivos en personales, laborales y TOPSECRET.
Par los archivos personales y laborales que aun cuando no queremos que estén circulando por Internet tampoco sería una gran tragedia si sucediera, es bueno tenerlos respaldados localmente y con servicios en la nube como DropBox o Google Drive.
TOPSECRET: Estos documentos que no queremos que sean públicos por nada del mundo, es mejor tenerlos respaldados localmente en formatos de archivos cifrados con la máxima seguridad y de preferencia en ordenadores o discos que no estén conectados a Internet permanentemente, o bien si vamos a subirlos a la nube que tengan una o dos capas de cifrado.
#1 Otra vez.
#2 Los servidores de Microsoft a día de hoy no han sufrido ningún robo de datos ni ataque de este tipo. Probablemente te refieras a vulnerabilidades en software, pero a juzgar por las estadísticas en CVE, Microsoft no es un caso especial comparado con los demás.
30 millones de contraseñas están cifradas con bcript de forma segura. Las restantes, unos 32 millones que el artículo dice que no son seguras, fueron cifradas con SHA1 que no es tan seguro, pero estaban recifradas así que al final también se consideran seguras.
#5 Son dos cosas relacionadas pero diferentes: http://www.genbeta.com/actualidad/dropbox-hackeado-de-nuevo-el-resultado-mas-de-68-millones-de-cuentas-comprometidas
#54 #55 venga, ya que nadie lo dice lo digo yo: buscad una habitación ya!!
#65 No hace falta. Puedes chequear aquí:
https://haveibeenpwned.com/
Mi mail aparece en dropbox...
A mí no me han pillado
https://blogs.dropbox.com/dropbox/2015/08/u2f-security-keys/
Ojalá U2F se convirtiera en un verdadero estándar. Lista de servicios soportados
http://www.dongleauth.info/
#53 Pasamos de " qué tiene que ver GNU Linux con las contraseñas," ( #28 ) a "Es como GNU Linux vs Linux a secas. "
Eres un cachondo.
Reconócelo, en el fondo me quieres.
#49 #50 más de 30 comentarios (de los 50 totales del meneo) para ver quién la tiene más grande.
¿Os la medís en centímetros o en bits?
#5 literalmente dicen "que creen que se robaron" em 2012.
Realmente a mi me preocupa mas que tarden 4 años en darse cuenta...
#4
Pues nada, a cambiar la contraseña toca
#4 Como si saliera de ellos...
#1 Estos robos son un puto coñazo, tocando contraseñas cada poco, estoy pensando en darme de baja de muchos servicios para evitar esto. No se vosotros, pero yo no uso una contraseña exclusiva por servicio, tengo como 5 o 6 dependiendo del nivel de seguridad que quiero, pero si me roban la de Dropbox probarán en otros servicios y en alguno coincide, así que me toca cambiar la de Dropbox y de varias páginas más.
#9 esto ...
#62 Pues que los productos de Microsoft históricamente han tenido deficiencias de seguridad a mansalva.
#63 ¿Y qué tiene que ver eso con la noticia de Dropbox?
#83 ???
#83 pero es que no lo es
#11 No, probablemente se refiera a bits: https://es.wikipedia.org/wiki/Clave_(criptograf%C3%ADa)#Longitud_de_la_clave
#80 Como dijo #7 la mitad de las contraseñas filtradas (unos 32 millones) son "más vulnerables", con cifrado SHA1 + un recifrado "propio" de DropBox.
#15
Una cosa es la longitud de bloque de la clave criptográfica (128, 256, 512, 1024, 2048, 4096, ...) y otra es la longitud de la contraseña.
#32 En que aquí estamos midiendo la fortaleza de la contraseña.
Tú dijiste, "Hablas de medir contraseñas y luego hablas de medir fortaleza de contraseñas"
Y yo te dije "Pues es algo así como hablar de Linux cuando hablas de GNU-Linux"
Es decir, que en todo momento hablamos de la fortaleza de la contraseña, no de su longitud, aunque abreviemos como cuando decimos Linux por GNU-Linux.
La fortaleza de una contraseña se expresa en bits, no en número de caracteres, que poco significan por todo lo que explicas.
Por si acaso, tengo activada la autenticación en 2 pasos.
#55 por favor, seguir
Microsoft way of life
#54
Los que se pelean se desean. Es una frase en plural.
Por esto, lo que queráis guardar de forma privada en Dropbox ha de estar cifrado.
#36 La fortaleza se mide en entropia, que se mide en bits
¿tú no encuentras ahí algo raro?
Osea, el tamaño de una carretera no se mide en kilómetros. El tamaño se mide en longitud, que se mide en kilómetros. WTF?
Entropía:
En seguridad informática, la entropía de una contraseña es la cantidad de aleatoriedad para hacer a la misma difícil de adivinar. Este término se expresa en términos de bits, y define una medida en el número de intentos que debe realizar un programa de computación para adivinar la misma. Una contraseña con entropía de n bits puede ser encontrada en 2n intentos. Así por ejemplo una contraseña con entropía de 1 bit debería poderse adivinar en 2 1intentos que es igual a 2 intentos. El matemático Claude Shannon fué el primero en introducir el termino de entropía en la teoría de la información.
Bonus:
"Una contraseña (passphrase) tiene caracteres, no bits."
Es que aquí estamos hablando de la fortaleza de esa contraseña, no de lo que tiene la contraseña.
Y " Entropia es indicativo de fortaleza. " y "la entropia de la contraseña, la cual se mide en bits" -> por tanto es correcto decir una contraseña de 127 bits.
#9 Con una contraseña de 127bits me parece que el diccionario se queda corto.
Otra cosa que ponga mi nombre y dni juntos.
#1 El problema no es tu contraseña en dropbox, a los hackers se la pelan tus archivos. El peligro es si usas el mismo usuario/email en otros sitios con la misma contraseña (tu banco, por ejemplo). Cuando ocurre esto lo verdaderamente importante es cambiar la contraseña en OTROS sitios donde uses la misma.
#29 déjalo,es un troll
#97 Ante un robo de base de datos poco se puede hacer, pero sólo es vulnerable en ese servicio.
A cada conexión un desafío criptográfico firmado por la clave privada de la llave. Los servicios sólo tienen la pública
#9 para eso tenemos la nemotecnia:D
La nube es segura. Es genial imaginar tus documentos personales desfilando por todos sitios.
#2 ¿A qué te refieres?
Ahora a esperar el pastebin y ver si estas afectado.
#60 Pero una con cámara oculta!!! Yo quiero ver cómo sigue esto!
#5 "Obtuvieron los hash de las contraseñas en 2012"
O sea, que a menos que consigan adivinar tu contraseña, no han obtenido nada.
#63 Todos los productos tienen deficiencias de seguridad.
Lo que ocurre son dos cosas:
- Por una parte el impacto, debido a que los productos de MS son usados de manera masiva
- Por otra la "corrección" del mismo. Que la politica de MS ha sido siempre bastante complicada en esto.
#54 #55
http://www.loob.es/suite-grey/
#66 Tiene una alta entropia pero con un ataque de diccionario la descifras en minutos. Una contraseña escrita en pseudo 1337 es mucho mas dificil de romper. Ejemplo: c0rr3ctb4tt3ryst4ppl3
Es una estupidez tener que andar cambiando las contraseñas, cuando si la contraseña no está cifrada (o está cifrada con métodos/algoritmos inseguros) en el sitio poco importa lo larga o complicada que sea sino que la podrán ver igual.
Ya digo que las nuevas directivas (e-Privacy y cyberseguridad) y Reglamento de Protección de Datos, las empresas que no notifiquen inmediatamente un incidente como este, la van a llevar clara y resulta que el ataque se habría producido en 2012 y este sería un remanente.
Salu2
#78 No he especificado. Solo digo que es una más para los de Microsoft.
¿Alguien puede explicarme por que bcrypt es seguro? ¿o es solo más seguro?
Es decir, un hash de una password débil puede atacarse mediante diccionario (hay BBDD de hash-->pass)
¿Con bcrypt no puedes hacer lo mismo? entiendo que para una contraseña no te compense, pero para 30 millones... ¿no puedes generar un diccionario de hash con el salto que le haya puesto dropbox y después comparar los 32 millones contra ese diccionario? por lo que he entendido el salto forma parte del propio hash y el número de iteracciones también. ¿que se me escapa?
Gracias
#67 Owncloud, Seafile...
#26 Pues es algo así como hablar de Linux cuando hablas de GNU-Linux, que siempre hay alguno que le busca los cinco pies al gato.
Te lo explicaba mejor pero luego me riñes.
#28 Que linux es el kernel.
Lo que no entiendo yo es por qué metes las transformaciones en esta discusión. No te has leído el enlace.
#30 Manda cojones que digas que no vienen a cuento los bits al hablar de contraseñas después de todo lo que te he puesto.
dF#3 es más seguro que 1111111111111111111111111111111 ¿por qué? ¿cómo lo expresas?
#31
La longitud de una contraseña se mide en caracteres. Otra cosa es que hables de la clave criptográfica, cuya longitud se mide en bits.
Depende de los caracteres que uses la clave criptográfica será más o menos larga, ya que el alfabeto a codificar tendrá más o menos símbolos, y por tanto necesitarás más o menos bits por símbolo.
La seguridad obviamente no depende únicamente de la longitud en caracteres de la contraseña o del numero de bits de la clave criptográfica. Habitualmente se emplean algoritmos de resumen que añaden aleatoriedad a la contraseña a la hora de generar la clave criptográfica.
Esa aleatoriedad se puede mejorar con una contraseña que también disponga de una buena aleatoriedad.
Dado un algoritmo de resumen predefinido, se pueden realizar ataques de diccionario contra la contraseña.
¿Cuál es el problema? No entiendo qué problema tienes.
#34 No, tú hablabas de fortaleza de contraseñas:
"Necesitas contraseñas fuertes, " Comentario #9
No estamos hablando de la clave de 1024bits sino de la contraseña de X bits.
Una contraseña de 5 bits para una clave de 1024 bits puede ser: 1111111111
Una contraseña de 33 bits para la misma clave puede ser: dX.$1
La primera contraseña tiene una longitud de 10 caracteres pero una fortaleza de solo 5 bits por ser solo numérica y un mismo número repetido. Si la contraseña fuese "1042" a pesar de ser solo cuatro números, ya es una contraseña de 11 bits.
La segunda tiene una longitud de 5 caracteres pero una fortaleza de 33bits, por tener minúsculas, mayúsculas, números, símbolos y aleatoria.
#38 Guai, estamos de acuerdo en eso.
Entonces, ¿tú no crees que cuando te dicen que tienen una contraseña de 127bits, te están diciendo la fortaleza de esa contraseña?
#40 No, no te están diciendo la longitud de la contraseña, te están diciendo la fortaleza. Si te dijesen la longitud, te dirían el número de caracteres.
Si a ti te dicen que una vara tiene 2 metros ¿tú crees que te están diciendo el peso de la vara? No, ¿verdad? porque metros es medida de longitud, no de peso. Pues con esto lo mismo.
#42 ¿y quién coño te habla de sitios webs y de lo que estos te digan o dejen de decir?
Lo que dices es como decir que cuando te hablan de kilómetros no se puede sobreentender que hablan de longitud, porque a lo mejor es el peso.
#44 A ver, tus propias palabras:
"porque la entropia (medida en bits) es un indicativo de fortaleza."
"Un indicativo de fortaleza es la entropia, que se mide en bits"
¿por qué dices que está pillada por los pelos si tú has demostrado que lo entiendes perfectamente? Son ganas de discutir.
La longitud se mide en metros, la fortaleza en bits.
#46 En cierto modo está relacionado, pero ya hay que ser retorcido. Cuando alguien te quiere hablar de caracteres, te dirán uno dos o tres, no 24 bits.
#48 Es lo que te dije. Por eso cuando te hablan de bits no se te puede ir la cabeza a la longitud de la contraseña.
#50 si hablas de longitud como sinonimo de fortaleza metes la pata.
#51 yo en hexabits, el en nanometros.
Si, pero si empleas ataque de diccionario y tu contraseña es fácilmente desmontada con eso, pues cagado la has.
Necesitas contraseñas fuertes, y es difícil recordarlas. Los gestores de contraseñas tampoco son infalibles, aunque desde luego incrementan notablemente la fortaleza de las contraseñas.
#10
¿Contraseñas de 127bits? Serán caracteres. En cualquier caso, si tus contraseñas emplean un patrón, su fortaleza disminuye.
#12
Google usa características específicas de Chrome/Chromium:
https://addons.mozilla.org/es/firefox/addon/u2f-support-add-on/reviews/802523/
Es decir, para usar U2F con Google tienes que tener Chrome/Chromium.
Hacker se hacen con más 60 millones de contraseñas, con un buen porcentaje de las mismas, susceptibles de ser descifradas.
Errónea o sensacionalista. Si no han sido averiguadas, no se han hecho con/robado las contraseñas/credenciales.
#27
Sigo sin entenderlo, qué tiene que ver GNU Linux con las contraseñas, su longitud y su posterior transformación en un bloque de X bits mediante un algoritmo de resumen que genera bloques de X bits.
#41
En ningún sitio web verás "escribe una contraseña con una entropia de 127 bits", así que no se puede sobreentender que cuando te digan contraseña de 127 bits se refieran a su entropia, cuando siempre te piden longitud.
De hecho incluso podrías entender que al decir contraseña de 127 bits es una contraseña de 16 ó 19 carácteres según ASCII de 7 bits o ASCII de 8 bits por caracter.
#43
Nah, está demasiado pillada por los pelos tu comparación. Poca voluntad tienes.
#45
Los caracteres también se miden en bits.
#47
Cuando alguien te quiere hablar de longitud de una contraseña, te dirá dos o tres caracteres, no bits de entropia.
#49
Si estás hablando de longitud de contraseña como sinónimo de fortaleza al ser un componente de fortaleza, sí.
https://passwordmaker.org/
#56 JAJAJJAJa
#51 En la puta entropia que han metido en el puto hilo, un poco mas y se abre un agujero negro y sale cthulhu a ostiarios.
#74 Avisaron en 2012 a todo el mundo para que cambiase de contraseña. A los que os dio pereza... a joderse.
#66 Sí, esa es mi contraseña, "correct horse battery staple"... dicen que es muy segura
#72 Si has cambiado tu contraseña después de 2012, y/o tienes activado el 2-factor, y/o siempre has usado una contraseña decente... da igual que alguien tenga el hash con salt de tu contraseña de 2012.
#86 Me pasa exactamente igual que a ti... he tenido que ir servicio tras servicio cambiando la contraseña a todos
#86 Usa un gestor de contraseñas. O usa una variante en cada sitio. Yo añado parte del nombre de la web al final de las contraseñas para tener una distinta en cada sitio fácil de recordar. No es tan seguro como tener una completamente diferente, pero es una mejora.
#100 Pues no sé por qué lo diré, a mí me avisaron y cambié la contraseña, pero decirlo no tiene mucho sentido, ¿no? Será que me aburro, no sé.
¿En serio que hay que cambiar otra vez? Entre estos y los de eBay cada dos por tres dan ganas de mandarlos al carajo...
Pues les va a llevar tiempo procesar 60 millones de cuentas...
#1 Corriendo, me cagon las ostias pachi !!!
#54 Habia una vez.....
Uuuun circooooo .....
#12 La U2F sigue siendo vulnerable a un robo de la base de datos. La contraseña es el "token generador".
#79 No se porque dices eso, pero si quieres un caramelito toma 🍬 🍬
#102 que no se porque me lo dices a mi, de manera totalmente condescendiente y sin venir a cuento. Y sin saber si yo lo cambié.
En em 2012 me llego el aviso y lo cambié, por cojones obviamente.
La noticia dice que en 2012 robaron los mails, y ahora, en 2016, confirman que tb iban los hash en el robo.
Sin contar la pasividad de los usuarios, a mi me parece muy GRAVE que una compañía grande confirme 4 años después un fallo de esas características. Aparte de que no avisaron, "caducaron" todas las contraseñas y toco cambiarlas, NO AVISARON DE NADA enel mail de cambio de pass. Con lo que si usas la misma pass para otros servicios te los podrían robar también.
#104 venga vaaa, otro caramelo que veo que te sulfuras 🍬 🍬 🍬 🍬
#25
Hablas de medir contraseñas y luego hablas de medir fortaleza de contraseñas. No lo entiendo.
#103 ¿Que te digo a ti qué? Menudos aires de grandeza. Que tú no eres nadie, os lo digo a todos los que me leéis por igual.
En 2012 recomendaron/obligaron a cambiar la contraseña, poco después de la intrusión. A partir de ahí, el resto es irrelevante, como si hubiesen publicado las listas de contraseñas viejas para que las cogiese cualquiera.
De hecho, es lo que deberían haber hecho, para evitar a los listillos que, cuando les obligan a cambiar de contraseña, van y meten una cualquiera... y luego vuelven a cambiarla a la vieja. Así les habrían dado una buena lección.
El que usase la misma pass para otros servicios, ya estaba distribuyéndola entre otros servicios, así que esos ni entran en la posible pérdida de seguridad, cuando no tenían ninguna de antemano. A joderse y listo.
#22
¿En qué me he equivocado, querido Wintroll?
#29
No sé, eres tú el que ha venido a hablar de contraseñas y bits, cuando no vienen a cuento los bits al hablar de contraseñas.
#35
A ver: https://en.wikipedia.org/wiki/Key_(cryptography)#Key_vs_Password
Y repito, la fortaleza de una contraseña no se mide en bits. Ni en caracteres. Ahí tú has querido soltar tu rollo de los bits y ya está. Un indicativo de fortaleza es la entropia, que se mide en bits: https://en.wikipedia.org/wiki/Password_strength
La fortaleza de una contraseña es en función de longitud de la contraseña, complejidad, e impredicibilidad.
Así pues, el comentario que desató la discusión, estaba equivocado. Una contraseña (passphrase) tiene caracteres, no bits. Otra cosa es la entropia de la contraseña.
#37
Sí, veo algo raro, porque la entropia (medida en bits) es un indicativo de fortaleza. La fortaleza de una contraseña es en función de longitud de la contraseña, complejidad, e impredicibilidad.