Facebook Twitter RSS
banner

LinkedIN: The SHA1 password Leak

Ayer por la tarde/noche se propagaba como la pólvora a través de múltiples páginas web, sitios de almacenamiento y sobre todo por twitter, la noticia de la publicación de más de 6 millones de "hashes", en SHA1, de las contraseñas de los usuarios de la más popular red de contactos profesionales LINKEDIN

Ante todo, si eres un usuario de la red LinkedIN no te alarmes, comprueba si tienes un correo de linkedin informándote al respecto, si todavía no lo tienes, eso significa que no estas afectado por la fuga de contraseñas, no obstante esto no es más que una señal de que si no lo has hecho ya, debes cambiar la contraseña.

No obstante, en http://www.securitybydefault.com nos han preparado una pequeña aplicación para comprobar la contraseña. Se recomienda pasarla a SHA-1, coger los últimos carácteres del hash correspondiente y buscarlo en el fichero publicado. Pero si no te ha dado tiempo a obtenerlo, hemos creado una pequeña y simple aplicación que permitirá determinar si el hash de tu contraseña se encuentra entre el listado de hashes filtrado.

RECOMENDACIONES

A pesar de ser "repetido" y "cansino" os vuelvo a poner unas recomendaciones para la generación de las contraseñas, la base para una buena política de seguridad en la protección de las contraseñas:

  • No usar palabras del diccionario, datos personales (nombres, fechas de nacimiento, lugares, DNI, etc), o cualquier información que nos relacione directa o indirectamente (número PIN del teléfono, de la tarjeta de crédito, DNI, Matricula del coche, hermanos, mascotas, etc).
  • Utilizar mayúsculas, minúsculas, números y caracteres especiales combinados. La mejor forma de crear contraseñas robustas, es utilizar formulas memotécnicas, por ejemplo, formar frases mediante la sustitución de vocales por números y algunas consonantes por caracteres especiales.
Existen reglas memotécnicas para la generación de contraseñas, y/o aplicaciones como por ejemplo: "Awesome Password Generator". Más información sobre esta herramienta.

Además siempre se recomienda: 

  • No compartir la contraseña con nadie.
  • No guardar la contraseña en un sitio visible.
  • Intentar no utilizar la misma contraseña en más de un sitio web.
  • Cambiar las contraseñas cada 1,2 o 3 meses.
Para comprobar cómo de robusta puede ser una contraseña, te aconsejo que visites la referencia [1] y juegues a descubrir que tipo de combinación es más robusta desde el punto de vista técnico.

 [1] [Tool] Make your Password more Secure

Otros artículos:

 [2] El caso Stratfor: cuando los password son debiles

Vía Securitybydefault | LinkedIN Blog

SHARE THIS POST

  • Facebook
  • Twitter
  • Myspace
  • Google Buzz
  • Reddit
  • Stumnleupon
  • Delicious
  • Digg
  • Technorati
Autor: Julian J. González
Ingeniero de Telecomunicaciones - Especializado en Seguridad de la Información. CISA, GPEN, GCIH, ITIL Certified.

0 comentarios:

Suscribirse a: Enviar comentarios (Atom)