El hack de Zappos reveló mi “contraseña codificada criptográficamente”. ¿Significa esto que los piratas informáticos pueden decodificar esa para obtener mi contraseña real?

En cualquier caso, asegúrese de cambiar su contraseña + para usar diferentes contraseñas para sitios que sean de importancia para usted (por ejemplo, finanzas, comercio, facturas) .

En general, cuanto más larga sea la contraseña, más difícil será romperla + uno no necesariamente debe incluir mayúsculas, símbolos + números para hacerlo más seguro. Por ejemplo, ‘thequickpurplefirefoxjumpedoverthelazycanine’ es un crack más duro que ‘abcd46!’. Hay un gran libro de Syngress llamado Perfect Passwords ( http://amzn.com/1597490415 ) que es una gran lectura rápida sobre este tema + muy accesible que incluye todos los mejores métodos + cómo funcionan las cosas.

El almacenamiento de una contraseña cifrada (una que se ha ejecutado a través de un hash) es más segura que el almacenamiento de una contraseña de texto sin formato (una que cualquiera pueda leer) . Pero como se menciona en las respuestas a esta publicación, las encriptadas son tan exitosas como los métodos implementados + el hash utilizado . Por ejemplo, si el algoritmo de hash era MD5 (un método de hash común) , existen numerosas tablas de arco iris (tablas de búsqueda) para entradas de contraseña cifradas. La advertencia es que hay un número finito de arcoíris + estos generalmente son para contraseñas de menor longitud que pueden contener o no ciertos símbolos. ¡Vimos el problema con este tipo de hashing en el caso de Anonymous vs HB Gary el año pasado!

En segundo lugar, si Zappos desplegó más métodos de seguridad, como la salazón o el hash iterativo (el término exacto se escapa a mi ahora [ugh]), entonces es probable que PERO cambie su contraseña para estar seguro en cualquier caso.

La conclusión aquí es que, sin los detalles exactos de cómo estaban almacenando las contraseñas, no sabemos qué tan seguras son. “Cryptographically scramble” nos dice que al menos no los estaban almacenando en claro, pero no sabemos nada más allá de eso. Lo mejor es asumir lo peor (que hicieron un trabajo horrible protegiendo su contraseña).

Para responder a su segunda pregunta, Zappos utiliza su dirección de correo electrónico como nombre de usuario. ¿Con cuántos sitios web tiene cuentas que también usan su dirección de correo electrónico como nombre de usuario y la misma contraseña que usó para Zappos? Por otro lado, sé que Facebook, todos los productos de Google, Twitter, Amazon, Apple, DropBox, Firefox Sync, FourSquare, Netflix, Hulu, LinkedIn, Mint (¡finanzas!) Y probablemente muchos más usan su dirección de correo electrónico como nombre de usuario.

Sabemos que se accedió a todas las direcciones de correo electrónico, por lo que si descifraron las contraseñas, todo lo que tienen que hacer es verificar esas combinaciones de correo electrónico / contraseña en otros sitios. No creo que sea demasiado difícil crear un script o una aplicación para verificar una lista de nombres de usuario / contraseñas en una lista de sitios web populares para ver si funcionan.

Si descifraron su contraseña de Zappos, suponga que ahora tienen acceso a todas sus otras cuentas. Lo único que te protege en este momento es el hecho de que eres uno de los millones en el mismo barco, y eso no debería ser una gran comodidad.