Portada
mis comunidades
otras secciones
![6,5 millones de contraseñas encriptadas de LinkedIn filtradas en línea [ENG]](https://cdn.mnmstatic.net/cache/18/e2/media_thumb_2x-link-1630944.jpeg?1417862727)
#2:
Ahora es cuando hay que recordar los peligros de usar la misma clave para diferentes cuentas 
#7:
#4 No sé si lo has dicho con ironía o no... 
Por si acaso...
La seguridad del algoritmo de cifrado SHA-1 ha sido rota
Por si acaso...
La seguridad del algoritmo de cifrado SHA-1 ha sido rota
#21:
#13 #4 #14 sha1 es vulnerable a las "rainbow tables" (diccionario de tablas gargantuescas de los pares password-sin-cifrar : password-cifrada-con-sha1). Para evitar las "rainbow tables" se usa la "salt" (sal), que simplemente es una variación aleatoria del cifrado que hace que tengas que tener millones o billones de "rainbow tables" (dependiendo de cuanta sal metas), con lo que no llega el espacio en el universo para tanta tabla.
Me parece mal que los de linkedin no usen la "Salt", ya que comparar claves con un diccionario sha1 no es algo imposible de hacer.
Ejemplo:
prueba:$6$KSatePMx$hkio0j5LlGugU79e7Ja06zTKaF8zFlzV6DQqTGHuOVjqMPi5dRx3uREsM.UFV4orx9FCX7Kn7XdCL6O0emABu
usuario=prueba
sal= $6$KSatePMx (implica que necesitas 1 billon aproximadamente de tablas rainbow, lo que es imposible)
sha1(prueba,$6$KSatePMx) = $hkio0j5LlGugU79e7Ja06zTKaF8zFlzV6DQqTGHuOVjqMPi5dRx3uREsM.UFV4orx9FCX7Kn7XdCL6O0emABu
Me parece mal que los de linkedin no usen la "Salt", ya que comparar claves con un diccionario sha1 no es algo imposible de hacer.
Ejemplo:
prueba:$6$KSatePMx$hkio0j5LlGugU79e7Ja06zTKaF8zFlzV6DQqTGHuOVjqMPi5dRx3uREsM.UFV4orx9FCX7Kn7XdCL6O0emABu
usuario=prueba
sal= $6$KSatePMx (implica que necesitas 1 billon aproximadamente de tablas rainbow, lo que es imposible)
sha1(prueba,$6$KSatePMx) = $hkio0j5LlGugU79e7Ja06zTKaF8zFlzV6DQqTGHuOVjqMPi5dRx3uREsM.UFV4orx9FCX7Kn7XdCL6O0emABu
#1:
35matrículas tenía cuenta en LinkedIn ¿verdad?
Jejé, la de cosas que se me están ocurriendo...
Jejé, la de cosas que se me están ocurriendo...
Comentarios
Ahora es cuando hay que recordar los peligros de usar la misma clave para diferentes cuentas
#2 A poco que estés en varias redes sociales, emails y demás te puedes sumar con mas de 10 contraseñas distintas... a mi no me da el cerebro para tanto
#20 Para eso existen Password Gorilla y utilidades similares
#32 Siempre consideré una aberración confiarle todas tus contraseñas a un programita, por muy bien que te caiga. Lo mejor para tener cientos de contraseñas y acordarse de todas, es tener un puñado y que sean relativamente parecidas, y tenerlas "personalizadas" con el sitio que visitas.
#2 #20 #32 Mucho mejor es tener por contraseña un esquema.
Una parte fija y otra parte que dependa de la web. Por ejemplo:
+Google: perroGoo6gato
+Meneame: perroMen7gato
+Facebook: perroFac8gato
+AOL: perroAol3gato
Si el número de letras de la web es impar, colocar primero gato y luego perro... o yo qué sé. Que cada uno haga su propia invención
Así la contraseña siempre es distinta
http://thepiratebay.se/torrent/7334168/Linkedin_SHA1_passwords
http://thepiratebay.se/torrent/7334648/LinkedIn_Password_Hashes
De nada
Está confirmado: http://blog.linkedin.com/2012/06/06/linkedin-member-passwords-compromised/
A los afectados les desactivarán la contraseña, les mandarán un mail con instrucciones para reactivar la cuenta y otro explicando lo que ha pasado.
35matrículas tenía cuenta en LinkedIn ¿verdad?
Jejé, la de cosas que se me están ocurriendo...
#1 Una cosa es que nos echemos unas risas con el gestor de la cosa pública y otra es invitar a que se hagan cosas que no se deben hacer y que a cualquiera nos jodería pero bien.
#8 Cierto es que no queda muy patente la sorna de mi comentario, pero de ahí a acusarme de apología del delito de usurpación de personalidad va un trecho.
De todas formas yo pensaba en un simple "I'm gay", que tan de moda está. (Esto también ha sido una gracieta)
Que yo sepa, la única vulnerabilidad que se ha descubierto en SHA1 no es más que un sistema de fuerza bruta que actúa más rápido, pero aún sigue siendo demasiado costoso en términos de tiempo como para poder descifrar las contraseñas.
Si se recomienda SHA256 ó 512 es simplemente porque, con el paso del tiempo y el aumento de la potencia de cálculo, el proceso de fuerza bruta comenzará a ser más factible.
Pero a día de hoy SHA1 es un sistema seguro, así que esos 6.5 millones de contraseñas cifradas no tienen ningún tipo de utilidad.
#13 Sí tienen, porque mucha gente habrá puesto una contraseña de mierda. Ahí no hay función hash que valga.
#4 y #13 Vosotros habeis oido hablar de las tablas de hashes precalculadas, verdad ?
#19 #21
Estáis dando por sentado que LinkedIn no utiliza salts para complementar las contraseñas. Que las usen o no, ya es otro tema distinto. Aquí se está hablando de SHA-1 vs. SHA-2, y las rainbow tables sirven tanto para SHA-1 como para SHA-2, por lo tanto ya no sería un problema del algoritmo de codificación, sino de medidas adicionales de seguridad cuyo uso o no, no se menciona en ninguna parte.
#4 #13 No necesitan descubrir la clave original, solamente una clave que de el mismo hash, lo que según la wiki se puede lograr con una complejidad de 2^51.
Aún mejor idea es probar una lista de contraseñas comunes contra toda la base de datos. Si uno de cada mil usurarios tiene una clave dentro del listado*, se tendría acceso a 6500 cuentas, un número nada despreciable, sobre todo si no te importa que cuentas resultan comprometidas. Dependiendo del "grano de sal" usado en el hash, incluso se podría usar una tabla precalculada como la que dice #19. Asumiendo un grano de sal de 12 bits (típica en unix), cada contraseña tendría 4096 variaciones con lo que una tabla con las 1000 contraseñas mas comunes ocuparía unos cuantos gigabytes. Un tamaño razonable para un ataque off-line.
* El número podría subir hasta 1% según éste análisis https://www.schneier.com/blog/archives/2006/12/realworld_passw.html, pero está mas cerca al 1 por 1000 según http://www.tomshardware.com/news/imperva-rockyou-most-common-passwords,9486.html
Yo estoy de acuerdo con #22, es muy probable que la clave almacenada sea una combinación de la contraseña con algún otro dato, ya sea fecha de registro, una palabra propia de Linkedin (site key) o algo. Por tanto, digo yo que haría falta saber qué otros datos se usan al cifrar y cómo se usan, no es lo mismo concatenar salt+contraseña que contraseña+salt.
El hecho de descubrir una clave que dé el mismo hash no implica que se pueda utilizar en lugar de la contraseña si el hash era compuesto.
Claro que tampoco se sabe si ha sido alguien desde fuera o desde dentro, y este último caso sí podría ser muy preocupante.
#22 "Unfortunately, it also seems that passwords are stored as unsalted hashes"
Un cero patatero para LinkedIn, porque encima guarda los "hashes" sin salar.
"It also seems that passwords are stored as unsalted hashes".
#22 Que no se mencione en ninguna parte y que tú no hayas leído el artículo (en el que se menciona claramente) son cosas diferentes.
#7 El que debe estar de broma eres tú, que a partir de un titular pareces inferir que SHA1 lo puede romper cualquiera con un PC doméstico. Con la tecnología extendida hoy en día, #4 tiene motivos suficientes para estar tranquilo.
#13 #4 #14 sha1 es vulnerable a las "rainbow tables" (diccionario de tablas gargantuescas de los pares password-sin-cifrar : password-cifrada-con-sha1). Para evitar las "rainbow tables" se usa la "salt" (sal), que simplemente es una variación aleatoria del cifrado que hace que tengas que tener millones o billones de "rainbow tables" (dependiendo de cuanta sal metas), con lo que no llega el espacio en el universo para tanta tabla.
Me parece mal que los de linkedin no usen la "Salt", ya que comparar claves con un diccionario sha1 no es algo imposible de hacer.
Ejemplo:
prueba:$6$KSatePMx$hkio0j5LlGugU79e7Ja06zTKaF8zFlzV6DQqTGHuOVjqMPi5dRx3uREsM.UFV4orx9FCX7Kn7XdCL6O0emABu
usuario=prueba
sal= $6$KSatePMx (implica que necesitas 1 billon aproximadamente de tablas rainbow, lo que es imposible)
sha1(prueba,$6$KSatePMx) = $hkio0j5LlGugU79e7Ja06zTKaF8zFlzV6DQqTGHuOVjqMPi5dRx3uREsM.UFV4orx9FCX7Kn7XdCL6O0emABu
#21 Es decir, ¿que si no uso una clave que esté basada en ninguna palabra no debería de preocuparme?
#25 Es un primer paso, pero tampoco valen contraseñas demasiado cortas.
Lo mejor siempre en estos casos es cambiarla por si las moscas.
Para los que hablan de fuerza bruta y descifrar las contraseñas, esto no es exactamente así. Para los resúmenes tipo hash, no hace falta analizar todas las combinaciones posibles, ya que lo que se busca es una colisión. Quién quiera más información aquí http://es.wikipedia.org/wiki/Ataque_de_cumplea%C3%B1os
Me preocupare cuando puedan obtener las verdaderas contraseñas tras la capa de SHA-1.
#4 No sé si lo has dicho con ironía o no...
Por si acaso...
La seguridad del algoritmo de cifrado SHA-1 ha sido rota
La seguridad del algoritmo de cifrado SHA-1 ha sid...
en.epochtimes.com#4 Para casos medianamente serios se aconseja (fervientemente) la utilización de SHA256 o SHA512. Hace ya algún tiempo que han descubierto ciertas vulnerabilidades en MD5 y SHA1.
Personalmente utilizo SHA256 o SHA512 como funciones hash, RSA con llave de 4026 para cifrado asimétrico y AES256 para cifrado simétrico.
#9 Pues muy mal. Las contraseñas no se deben hashear con algoritmos de propósito general, porque están diseñados para ser rápidos (lo que incluye facilitar la fuerza bruta).
La solución a todos los problemas de filtrado de hashes existe desde hace años y se llama bcrypt, está disponible para cualquier plataforma y es una lástima que la pronunciada ignorancia en cuestión de seguridad que presentan la mayoría de los desarrolladores los lleve a usar algoritmos no apropiados para las tareas. ¡Joder, que ni siquiera los hashes están salted!
#30 Eso es, lo más grave es que no le hayan puesto ni el salt.
¿Las tenían guardadas en una cripta y ahora las han sacado a pasear?
Que alguien cambie encriptadas por cifradas en el titular, por favor...
#37 Estoy deseando que la añadan al diccionario castellano, se entiende de sobra el significado. No se cuantos años tenían que pasar para que fuera aceptada.
Resultados en google.
Encriptar contraseña: About 7,600,000 results
Cifrar contraseña: About 1,470,000 results
#47 Google, el nuevo diccionario
Empecemos a escribir todos huevo sin h y al final Google nos dará la razón y la RAE tendrá que aceptarlo sin h.
relacionada La aplicación de LinkedIn para iOS transmite información de los usuarios sin su conocimiento
La aplicación de LinkedIn para iOS transmite infor...
itespresso.esVaya, cifraron las contraseñas y además segun #0 las guardaron en una cripta. Sólo les faltó echarles una pizca de sal.
Deberían (y deberíamos) usar bcrypt http://en.wikipedia.org/wiki/Bcrypt en vez de SHA1 para guardar passwords
"Besides incorporating a salt to protect against rainbow table attacks, bcrypt is an adaptive hash: over time it can be made slower and slower so it remains resistant to specific brute-force search attacks against the hash and the salt."
Más información: http://www.codinghorror.com/blog/2012/04/speed-hashing.html
"Use bcrypt or PBKDF2 exclusively to hash anything you need to be secure. These new hashes were specifically designed to be difficult to implement on GPUs. Do not use any other form of hash. Almost every other popular hashing scheme is vulnerable to brute forcing by arrays of commodity GPUs, which only get faster and more parallel and easier to program for every year."
Si alguien quiere comprobar si esta afectado..
http://www.genbeta.com/seguridad/como-comprobar-si-tu-contrasena-de-linkedin-ha-sido-comprometida
Yo ya la he cambiado por si acaso. Más vale prevenir que curar.
Salu2
Nos quieren amordazados y sumisos.
La unica posibilidad es que comparen la contraseña encriptada con un diccionario.Pshhhh...
Alguien puede facilitar el archivo de hashes?
Last Pass también te ayuda a saber si tu contraseña está comprometida: https://lastpass.com/linkedin/
#31 Por cierto; según esa herramienta, la contraseña "urdangarin" está entre las comprometidas; hasta los grafemas asociados al personaje están bajo sospecha
Se debería cambiar el titular de esta entrada, hay que ponerle el (ENG)
Por fuerza bruta? Buena suerte...
Alguien lo habrá dicho ya, pero si están pasadas por SHA-1 no están cifradas, están "hasheadas" (perdón por el anglicismo).
Preludio a la siesta de un sha-1.
Más información: http://arstechnica.com/security/2012/06/8-million-leaked-passwords-connected-to-linkedin/
Si quereis mirar si vuestro password estaba en esa lista podeis hacerlo aqui
http://leakedin.org
#27 Es un servicio muy útil, de hecho cualquiera que me lea puede enviarme los datos de su tarjeta de crédito y yo le digo si han intentado robárselos o no. 100% de efectividad
Debería retirar ese enlace.
#35 Mientras no relacione ningún usuario/email con ninguna contraseña, dudo que pueda servir para robar claves.
#35 La web solo comprueba el hash, que si quisieras podrias haberlo generado tu en otro sitio (puesto que LinkedIn es lo que hace, no añade ninguna clave extra al Hash). Es como si te doy mi numero de tarjeta, pero no te digo ni el CVC, ni la direccion, ni el nombre en la tarjeta. Es solo un numero, con eso no haces nada. Estais que saltais a la minima.
#42 Mis conocimientos no llegan para saber que no es peligroso, pero una de las cosas que nos intentan enseñar a los que no estamos metidos en el tema es que en caso de duda, como precaución, no se debe facilitar ninguna información relacionada con tus contraseñas.
Por lo menos podré decirles a los chavales que llevan la seguridad que su recomendación de que seamos paranoicos funciona.
#27 Password: TUPUTAMADRE
Your password was leaked and cracked. Sorry, friend.