LinkedIn investiga la filtración de más de seis millones de contraseñas de sus usuarios

Pues nada, a cambiar la contraseña. Algunos están para tocar las narices. ¿De que sirve tanta seguridad si al final pasan estas cosas?. Supongo que para que no pasen mas a menudo, pero no deja de ser una lata, amen de mermar la confianza de los usuarios.

#1 La verdad, tanta seguridad no tendrían. O sí. Una vez más, por la forma en que está redactada la noticia en el panfleto, es difícil estar seguro.

Dicen: "se ha filtrado por Internet un archivo encriptado que contiene todas las contraseñas robadas.".

Lo que no está claro es si los atacantes han filtrado ese archivo, construido por ellos mismos que disponen de las contraseñas en claro, o si lo único que han podido obtener son las contraseñas "encriptadas".

De todas formas, viendo cómo dan los medios mainstream este tipo de noticias (en cuanto a falta de rigor), también cabe preguntarse si realmente las contraseñas que han obtenido han sido "encriptadas" o si son meramente hashes.

Aunque similares, no son lo mismo. Si son hashes, como mucho te sirve para comprobar si una contraseña es correcta y aplicar un cracker, pero no hay clave de encriptación que buscar por ningún lado ya que el hashing que realizaran en LinkedIn no tiene como propósito recuperar la contraseña.

Según, el escenario podría ser más o menos grave. En el supuesto de que sólo tengan hashes, un usuario con una buena contraseña puede estar tranquilo.

y qué mas da que te roben la contraseña de linkedln, si una vez que has metido tus datos en internet sabes que son de dominio público....incluso sin meter tus datos, entras en youtube y en el lado derecho te lo personalizan todo con tus gustos en vídeos sin haber hecho un solo login...etc etc etc

#3

totalmente deacuerdo

al igual que los spam ...

la informacion en internet es de dominio publico , se compra y se vende sin control

La noticia es un poco parcial y Gualtrapa tiene razon. Si os fijais, estos servicios te permiten cambiar el password cuando no te acuerdas, pero nunca te dicen el antiguo, porque lo guardan encriptado en su base de datos por motivos de seguridad y ni ellos pueden desencriptarlo. Otra cosa es que hayan conseguido esos passwords con tecnicas de phishing y algunos usuarios hayan escrito sus datos de acceso en una pagina falsa que simulaba linkedin. En ese caso linkedin no tendria culpa de nada.

#1
<<¿De que sirve tanta seguridad si al final pasan estas cosas?>>
Grandiosa pregunta ...
Si pasan estas cosas es porque la seguridad está al nivel de algún hacker toyaco que no tiene ni puta idea.
Mismo caso en FB donde ya robaron 300 millones de cuentas en 2009.
Mismo caso en Twitter donde aún cualquier chavalín con escasos conocimientos puede robar cuentas.
Mismo caso en Hotmail donde durante un lustro se pudieron robar cuentas a granel.
Mismo caso entre los clientes de la PS3 ...
¿Cómo mola la nube, eh?

Pudiendo almacenar sólo los hashes (md5, etc) de las contraseñas, y usar una comparación al hacer el login, no entiendo porque hay necesidad de guardar los passwords usando cifrado reversible.

Probablemente no logren descifrarlo nunca, si es que el cifrado y la llave son competentes... pero aún así..

#8
La noticia está fatal redactada y no queda claro ni de lejos qué ha pasado.
Según entiendo yo han publicado un archivo "encriptado" con contraseñas sin encriptar; pero claro siendo una noticia 20m es solo una suposición.
De todas formas aunque en el fichero solo estén los hashes de las contraseñas me pregunto cuánto tiempo gasto en hashear un diccionario de ataque y compararlo con el fichero para obtener algunas de las contraseñas originales.
Está claro que con contraseñas tipo: "2dsxduyej4gh" lo tendré bien jodido.
Perto también esta claro que éstas: "gandalf", "lapiz", "contraseña", "qwerty", "1234" saldrán a las primeras de cambio.

sacar un hash es como sacarse un moco de la nariz total falta de seguridad principalmente por el webmaster entre otras cosas.