Se filtran cinco millones de contraseñas de gmail

Endre
#1 por Endre el 13/09/2014
El foro ruso BTSec asegura haberse hecho con los usuarios y contraseñas de 5 millones de cuentas de Gmail, y ha publicado un enorme listado en un archivo de casi 30 MB con todos los correos electrónicos a los que en teoría podrían acceder, pero no sus claves. Lo primero, para comprobar que hablan en serio, lo segundo, porque quizás las contraseñas no las ofrezcan a todo mundo, sino al que pague más. Y quien pague por eso no tendrá buenas intenciones.

Enlace de descarga:

https://forum.btcsec.com/uploads/manual_09_2014/google_5000000.7z
Subir
OFERTAS Ver todas
  • -50%
    NI Komplete 15 Collector's Edition
    885 €
    Ver oferta
  • -20%
    Technics SL-1200M7 Lamborghini
    1.199 €
    Ver oferta
  • -29%
    Behringer X-Touch Compact
    263 €
    Ver oferta
BlahBlah
#2 por BlahBlah el 13/09/2014
Lo primero que hay que aclarar es que no se trata de una fuga de contraseñas de Gmail. Google guarda con encriptación irreversible las passwords en sus sistemas y por tanto aunque alguien accediera a ellas jamás podría leerlas.

Al parecer no se trata exactamente de password de cuentas de Gmail, sino de passwords de cuentas en FOROS cuyo e-mail de registro se trata de direcciones de Gmail. El problema, obvio, es que muchas de estas personas habrán puesto la misma password en esos foros que para abrir su cuenta de Google (cosa que no se debe hacer jamás).
Subir
Endre
#3 por Endre el 13/09/2014
A parte que es aconsejable cambiar de contraseñas cada cierto tiempo.

http://www.elmundo.es/tecnologia/2014/04/10/534639d0ca4741f54c8b456b.html
Subir
BlahBlah
#4 por BlahBlah el 13/09/2014
#3

Y aún más, yo tengo activado el sistema de autenticación en dos pasos para todas mis cuentas.

Consiste en que si alguien te roba una contraseña accidentalmente, no puede iniciar sesión sin antes meter un código que llega por SMS a tu móvil.
Subir
Endre
#5 por Endre el 13/09/2014
¿Y tienes que hacer ese proceso tú cada vez que entras a una de tus cuentas? :shock:
Subir
BlahBlah
#6 por BlahBlah el 13/09/2014
#5

No. Solamente cuando entras por primera vez desde un ordenador "nuevo", es decir, desconocido para tu cuenta (por ejemplo, desde un ordenador público).

A veces también te lo piden si entras desde una IP disparatada, por ejemplo desde China o Japón, porque la consideran demasiado "inusual". Pero te lo piden una vez nada más y a partir de ahí ya saben que eres "viajero exótico" y no te molestan más :D
Subir
BlahBlah
#7 por BlahBlah el 13/09/2014
Vale la pena esa pequeña molestia del SMS esporádico por la gran tranquilidad que te da.
Subir
Endre
#8 por Endre el 13/09/2014
Imagino que sí. Yo no uso móvil, así que me conformaré con el cambio de contraseña frecuente.:roll:
Subir
BlahBlah
#9 por BlahBlah el 13/09/2014
#8

Si no tienes móvil te dan otra opción: una tablita con códigos para imprimir y llevar en la cartera como hace La Caixa.

Si pierdes la tablita tampoco pasa nada porque sin la contraseña no funciona, y que te robe la password y la cartera la misma persona eso ya sí que sería imposible ;-)
Subir
Endre
#10 por Endre el 13/09/2014
Mira, lo de la matriz de códigos no lo sabía. En Caixa Rural también la ofrecen para autentificar movimientos en la cuenta. Pues lo miraré. Gracias.
Subir
D4v
#11 por D4v el 13/09/2014
BlahBlah escribió:
Google guarda con encriptación irreversible las passwords en sus sistemas y por tanto aunque alguien accediera a ellas jamás podría leerlas.
dudo muchísimo eso que no se puedan leer o desencriptar,no hay nada 100% seguro hoy en día,nada.
Subir
BlahBlah
#12 por BlahBlah el 13/09/2014
Por si alguien más está interesado en lo de la autenticación en dos pasos de Google, sólo tiene ir a este link y activarlo:

https://accounts.google.com/b/0/SmsAuthSettings#devices

Obviamente funciona también con cuentas Google de empresas, no sólo con las de Gmail.

Saludos
Subir
BlahBlah
#13 por BlahBlah el 13/09/2014
#11

Cualquier sistema basado en Unix guarda las contraseñas con cifrado irreversible, o mejor dicho, lo que guarda es un hash.

El hash se obtiene con una función sobreyectiva, lo cuál significa que ese mismo hash puede corresponder a infinitas passwords distintas y que por tanto no se puede saber cuál es la password original que lo generó.

Lo que hace cualquier sistema moderno es que, en el momento de validar, generan de nuevo el hash de tu password y comparan ambos (el generado en el momento y el almacenado) para ver si la password es correcta. Pero si alguien roba la tabla de hashes de las contraseñas no podría hacer nada con ellas.
Subir
famosilla
#14 por famosilla el 13/09/2014
No hace falta descargarse todo ese tocho de archivo. Puedes ir a

http://isleaked.com/es

y metes tu email.

Por si no te fías de la propia página o para mayor seguridad, coloca unos asteriscos sustituyendo unas letras del correo que testes.
Si tu email es manolitogafotas@gmail.com mete manolitogafo***@gmail.com y lo testa.
Subir
BlahBlah
#15 por BlahBlah el 13/09/2014
#14

De hecho en el archivo sólo salen las direcciones pero no las passwords. En esta página te muestran los 2 primeros caracteres lo cuál te sirve para asegurarte de si era la password de Gmail u otra distinta la que te han robado ;-)
Subir
Nuevo post

Regístrate o para poder postear en este hilo