Verdadero o falso: El problema con el truco de Sega (y otros) es que las personas reutilizan contraseñas y contraseñas cortas, aunque las encriptadas pueden desencriptarse fácilmente.

Falso. Los dos elementos en cuestión son ortogonales. Si bien el pirateo de Sega resultó en el robo de contraseñas cifradas, esa no fue la causa principal del pirateo de Sega. En cambio, fue un síntoma de un problema más amplio.

La reutilización de contraseñas es un problema extremadamente antiguo y bien conocido en el campo de la seguridad de la información. Se aconseja a los usuarios que administren múltiples contraseñas y usen una “bóveda” de contraseñas para administrarlas más fácilmente.

La longitud de la contraseña también es un problema muy conocido, bien entendido y de larga data. La mayoría de las corporaciones se han movido hacia una contraseña más larga en los últimos años.

A partir de octubre de 2005, se aconseja a los empleados del Gobierno del Reino Unido que utilicen contraseñas de la siguiente forma: [ cita requerida ] consonante, vocal, consonante, consonante, vocal, consonante, número, número (por ejemplo, pinray45 ).
Este formulario se llama contraseña de Environ y no distingue entre mayúsculas y minúsculas.
Desafortunadamente, dado que la forma de esta contraseña de 8 caracteres es conocida por
posibles atacantes, la cantidad de posibilidades que necesitan ser probadas
en realidad es menos de una contraseña de 6 caracteres sin forma (486,202,500 vs
2.176.782.336).

Los ataques de fuerza bruta contra contraseñas encriptadas han estado ocurriendo durante décadas.

Una de las herramientas originales de fuerza bruta se llamaba Crack, fue construida en 1990:

Crack comenzó en 1990 cuando Alec Muffett, un administrador de sistemas Unix en la Universidad de Gales Aberystwyth, estaba tratando de mejorar el cracker ‘pwc’ de Dan Farmer en COPS y descubrió que al rediseñar su administración de memoria obtuvo un

aumento notable del rendimiento. Esto condujo a una reescritura total que

se convirtió en “Crack v2.0” y un mayor desarrollo para mejorar la usabilidad.

http://en.wikipedia.org/wiki/Pas…
http://en.wikipedia.org/wiki/Cra…

Related Content

¿HTTP / 2 proporciona algún mecanismo nuevo para mitigar los ataques DDoS de capa 7?

¿Cómo ocultan los hackers el malware dentro de los archivos y lo ejecutan cuando se descargan?

Cómo atacar DDoS en el sitio web

¿Alguien puede explicar cómo se pueden usar los lenguajes de programación para descifrar software o piratear un servidor?

¿Por qué los sitios bancarios no usan contraseñas simples para la autenticación?

No estoy familiarizado con el truco de Sega. Sin embargo, en el hack de Adobe 2013 (130 millones de contraseñas), todas las contraseñas estaban fuertemente encriptadas, pero todas usaban la misma clave simétrica, y las sugerencias de contraseña se incluyeron en texto sin formato. Dado que la sugerencia de muchas personas fue suficiente para identificar la contraseña (por ejemplo, “primeros 6 dígitos”), y la misma contraseña siempre dio el mismo texto cifrado, sabemos la contraseña para millones de usuarios.
Buscar hashes de contraseñas de Adobe
Si tiene acceso, por ejemplo, al archivo shadow en Linux, las contraseñas cortas no se pueden descifrar tanto como se adivina, y como dice con las GPU, es aún más rápido ejecutar diccionarios completos a través del algoritmo de cifrado para buscar coincidencias que con una CPU normal . Dado que los diccionarios de contraseñas incluyen contraseñas comunes que no son palabras como qwerty y qazwsxedc, y los algoritmos incluyen reglas de modificación como [correo electrónico protegido] , así como contraseñas planas de 8 caracteres de fuerza bruta con todas las combinaciones posibles, las contraseñas cortas no son seguras contra un enemigo que conoce el hash. Sin embargo, ese no es el problema real: el problema es que las personas reutilizan las contraseñas en varios sitios, uno de los cuales es pirateado para que un atacante registre las contraseñas en tiempo real. O su cliente se ve comprometido y registra todas sus pulsaciones de teclas. En cuyo caso, las contraseñas fuertes y complicadas no ayudarán.

Andrew Daviel

Falso, pero también cierto.

Andy tiene razón en que la reutilización de contraseñas no fue la causa, sin embargo, aumenta la gravedad del impacto de ataques como este y, de hecho, otros como la violación de PSN.

Nuevamente, piratear contraseñas no es nuevo, lo que está cambiando hoy es la cantidad de personas que tienen cuentas con servicios basados ​​en la nube como Facebook, PSN, Twitter y la cantidad de cuentas diferentes en la “nube” que tienen las personas.

La reutilización de contraseñas, que es de naturaleza humana, en realidad significa que las credenciales de las personas son tan seguras como el sitio web menos seguro en el que las usan.

Vale la pena señalar que el sitio web de la BBC informó que …
Sega explicó que había restablecido todas las contraseñas e instó a los clientes a cambiar sus detalles de inicio de sesión en otros servicios y sitios web donde usaban las mismas credenciales …

Admitiendo que cualquier cifrado que tenían instalado no era suficiente para proteger las contraseñas.

El uso de un segundo factor de autenticación parece ser el siguiente paso lógico para estos sitios

Andrew Daviel

More Interesting

Tengo 46 años, ¿es demasiado viejo para volver a entrenar para trabajar en Seguridad Cibernética?

Cómo evitar contraer un virus o gusano informático

¿El requisito de cambiar una contraseña cada pocos meses aumenta o disminuye la seguridad?

¿Es posible obtener un virus incluso si ejecuta el complemento bloqueador de secuencias de comandos y Avast Antivirus? ¿Si es así, cómo?

¿Es "seguro" encriptar completamente un SSD Verbatim externo de 128 GB con TrueCrypt? Por seguro quiero decir, ¿acortará la vida útil del SSD? ¿Algún otro problema o problema importante que deba conocer? Gracias.

Cómo evaluar el algoritmo MD5

Cómo abrir un archivo PDF que está protegido con contraseña y he olvidado la contraseña

¿Cuáles son algunas sugerencias para buenos temas menores de proyectos sobre ciberseguridad / redes que podrían completarse en 7 meses?

¿Cuáles son los mejores programas antivirus gratuitos para PC?

¿Cuáles son las historias más tontas de cómo los piratas informáticos experimentados fueron atrapados?

¿Cisco Catalyst 4948 tiene credenciales predeterminadas (nombre de usuario y contraseña)?

Cómo recordar mis contraseñas sin usar un administrador de contraseñas

¿Son seguras las tarjetas MIFARE y por qué?

¿Cuáles son los posibles riesgos de seguridad al implementar la sincronización de archivos?

¿Es el llavero de iCloud tan seguro como LastPass?