Publican la mayor lista de contraseñas de la historia: 8.400 millones de "passwords"
Un usuario ha publicado en un popular foro relacionado con el hackeo la mayor colección de contraseñas filtradas de la historia. La recopilación, que se llama RockYou2021, parece ser una compilación de contraseñas obtenidas de otras filtraciones y brechas de seguridad.
El usuario afirma que tiene 82.000 millones de contraseñas, aunque el análisis de CyberNews, que ha sido la revista que se ha hecho eco del archivo, afirma que incluye 8.459.060.239 entradas únicas (unas 8.459 millones).
Según afirma el autor del post y expone CyberNews, todas las contraseñas tienen entre seis y 20 caracteres, se han eliminado los caracteres no ASCII y no tienen espacios en blanco.
Son contraseñas de hasta 20 caracteres en texto plano. Todas ellas están disponibles en un archivo .txt de 100 GB que incluye los 3.200 millones contraseñas de COMB, que hasta ahora era la mayor recopilación de contraseñas filtradas de la historia.
RockYou2021 parece ser una referencia a RockYou, la plataforma que fue vulnerada en 2009 y de la que se extrajeron 32 millones de contraseñas en texto plano. RockYou2021, sin embargo, es 262 veces más grande y todavía más imponente que Compilation of Many Breaches (COMB), que hasta ahora era la mayor recopilación de contraseñas de la historia.
COMB aglutinaba 3.200 millones de contraseñas filtradas en diferentes brechas de seguridad y ahora forma parte de RockYou2021, que es más del doble de grande. Según CyberNews, "teniendo en cuenta que solo alrededor de 4.700 millones de personas están en línea, en términos numéricos, la compilación RockYou2021 incluye potencialmente las contraseñas de toda la población mundial en línea casi dos veces".
La recopilación no incluye correos y usuarios asociados a las contraseñas, pero no por ello es menos importante. ¿Por qué? Porque se podría usar para crear diccionarios de contraseñas para ataques conocidos como "Spraying Password".
A diferencia de los ataques por fuerza bruta, que se centran en vulnerar una sola cuenta probando todas las contraseñas, los ataques de pulverización intentan acceder a una gran cantidad de cuentas con algunas contraseñas de uso común.
Por ejemplo, en lugar de probar los 8.400 millones de contraseñas para acceder a una sola cuenta, el atacante prueba contraseñas comunes, como "123456", "contraseña" o "password", con muchas cuentas antes de pasar a la segunda contraseña más común, y así sucesivamente. De esa forma consigue pasar por debajo del radar de los sistemas de bloqueos de cuenta.
Esta base de datos sirve precisamente para eso, para ver cuáles son las contraseñas más comunes. Por ejemplo, la palabra "password" se ha filtrado 1.969.083 veces y "123456" lo ha hecho 8.613.459 veces.
Podés comprobar la tuya en esta web de CyberNews. Si tu contraseña se ha filtrado, podés cambiarla y, de paso, activar la autenticación en dos pasos. Incluso podés optar por una solución de hardware como una llave de seguridad.
Opciones para saber la seguridad de tus contraseñas
Para que puedas corroborar si tus datos forman parte de alguna filtración, Eset informó, en un comunicado que envió a iProfesional, distintas opciones, que también permiten comprobar si las contraseñas que elijes son seguras o no:
Have I Been Pwned
Este servicio permite verificar si una dirección de correo electrónico fue filtrada alguna vez en las distintas listas que circulas con datos de correo y claves. Además, la base de datos está actualizada e incluye las direcciones y contraseñas que fueron filtradas recientemente.
Identity Leak Checker
Este servicio cuenta en su base con todos los nombres de usuario, direcciones y contraseñas que forman parte de las cinco carpetas, además de otros registros provenientes de otras filtraciones.
Además de nombres de usuario y contraseña, la herramienta también muestra si otros datos sensibles fueron expuestos en alguna brecha, como detalles de cuenta bancaria, fecha de nacimiento, número de teléfono, entre otros. A la hora de elegir una nueva contraseña, hay servicios como Pwned Passwords que permite chequear si una contraseña fue filtrada o cuantas veces fue utilizada.
De esta manera el usuario puede hacerse a una idea del nivel de seguridad de una combinación elegida. A la hora de elegir una contraseña segura, hay que verificar que no esté en alguna base de datos de filtraciones, y recordar algunas buenas prácticas a la hora de elegirla:
* Usar caracteres alfanuméricos.
* Usar caracteres especiales.
* Que tenga por lo menos ocho caracteres de longitud (más de diez nos dará mayor seguridad aun ante cualquier ataque por fuerza bruta).
* Utilizar si es posible un segundo factor de autenticación, ya que aporta una capa de seguridad adicional sobre la contraseña elegida.