11 millones de contraseñas de Ashley Madison craqueadas en diez días

11 millones de contraseñas de Ashley Madison craqueadas en diez días

Si había una buena noticia sobre la filtración de 40 millones de cuentas de Ashley Madison, es que parecía que las contraseñas se habían cifrado correctamente.

La empresa utilizaba un programa llamado bcrypt, que para cada contraseña individual añadía una cadena de caracteres aleatoria y después cifraba el resultado.

Lo bueno de este sistema es que no se puede trabajar hacia atrás con las contraseñas, la única manera de craquearlas es ir probando una interminable lista de contraseñas posibles, una por una.

Incluso mejor, al añadir una cadena aleatoria, todos los resultados son distintos por lo que hay que seguir el mismo proceso de cada vez.

Defensa en profundidad

El emplear un sistema como brcrypt no significa que ya no debemos preocuparnos por como almacenamos esas contraseñas.

En primer lugar, se supone que no debes perder los datos de tus clientes, pero al usar este tipo de aplicaciones, ofreces un segundo nivel de protección que reduce el impacto de una posible filtración de los datos.

Después de todo, si a un ciberdelincuente le lleva un mes el descifrar tu contraseña, tendrás un mes para cambiarla y ganar la batalla.

¿Cuál es el problema?

Hasta ahora todo parece correcto. El problema surge cuando se descubre que no todas las contraseñas se cifraron con bcrypt. Para algunas utilizaron un algoritmo llamado MD5 que es mucho más sencillo de descifrar.

Un blogger que ha intentado descifrar las contraseñas de bcrypt, ha recuperado 4000 en una semana. Sin embargo, han tardado 10 días en recuperar 10 millones de contraseñas cifradas con MD5.

Conclusión

¿Qué podemos aprender de este asunto? El cifrado hay que realizarlo correctamente. Se decides implementar un nuevo sistema porque el anterior no es conveniente, debes deshacerte completamente del proceso anterior.

Recuerda vulnerabilidades como FREAK causadas porque los programadores utilizaban un código que llevaba 15 años obsoleto.

Los ataques criptográficos cada vez son más potentes, así que debemos usar las herramientas apropiadas para proteger a nuestros clientes.

Y por último ¿ya has cambiado tu contraseña en Ashley Madison? ¿Seguro que no la usabas en ninguna otra web?

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: