Sí, la gran mayoría de los usuarios todavía usan contraseñas que pueden ser descifradas por la fuerza bruta.
No es seguro asumir que la mayoría de los sistemas lo bloquearán después de tres intentos incorrectos. La investigación de Dashlane [1] reveló que de los 100 principales minoristas en línea, 51 de ellos continuaron permitiendo intentos de inicio de sesión después de 10 intentos incorrectos (en ese momento los investigadores dejaron de contar).
Tampoco es correcto suponer que esta es la única forma de atacar las contraseñas. Si alguien puede obtener una copia de la base de datos de contraseñas de una empresa, la cantidad de intentos que se pueden hacer con esas contraseñas solo está limitada por el hardware. La mayoría de los sitios web almacenan su contraseña en forma de hash (preferiblemente con sal y otras técnicas de mejora de seguridad agregadas) y, si se hace correctamente, es muy poco probable que la fuerza bruta produzca resultados. Pero un número sorprendente de sitios web no tienen buenas prácticas de hash, lo que hace que sus contraseñas sean relativamente fáciles de encontrar. De hecho, algunos sitios web no hacen ningún esfuerzo. ¿Alguna vez recibió un correo electrónico de recuperación de contraseña que mostraba su contraseña actual en el correo electrónico? Eso significa que su contraseña se encuentra en su base de datos en una forma fácil de leer, sin compartir.
- Chrome: ¿Cuál de los siguientes datos de navegación debo eliminar para limpiar el malware?
- Cuando escribo ipconfig / displaydns en cmd, muestra algunos sitios web que nunca excedí, y el país también es diferente en cada dirección, ¿por qué?
- Hackers: ¿Qué tan seguro es permitir que el Administrador de contraseñas de Google Chrome guarde todas mis contraseñas?
- ¿Quién firmará / cifrará digitalmente todos sus correos electrónicos en el trabajo?
- Cómo saber la contraseña de wifi si se conoce el número de serie, la dirección mac y el PIN del enrutador
Si cree que el robo de la base de datos solo le sucede a los pequeños, estas son solo algunas de las empresas a las que les robaron sus datos de usuario en el último año: Yahoo, Adobe, LinkedIn, Comcast, SnapChat, Evernote, Kickstarter, Forbes, ADP, y LexisNexis. Esos son solo los que puedo recordar de mi cabeza.
Para empeorar el problema es el hecho de que la mayoría de las personas reutilizarán la misma contraseña en varios sitios web diferentes. Si se roban las contraseñas de un sitio, entonces los malos probablemente también obtuvieron las direcciones de correo electrónico. Si usó la misma dirección de correo electrónico y contraseña en más de un sitio, no importa que los otros sitios tengan prácticas de seguridad sólidas; el sitio más débil te dejó.
[1] Página en dashlane.com