- En el hipotético caso que alguien lograse descifrar las contraseñas tendría un listado de pares cuenta de correo-contraseña con la que probar, por ejemplo, en Facebook, Twitter, LinkedIn, Gmail y cualquier servicio que se nos ocurra. Si la contraseña es la misma en todos ellos, un atacante con no muy buenas intenciones tendría “barra libre” para acceder a toda nuestra información personal o realizar publicaciones en nuestro nombre.
- Otro escenario que podemos encontrar es el uso de aplicaciones que usan conexiones no cifradas (el correo, por ejemplo) en redes Wi-Fi abiertas y enviar, por dicho canal, nuestro usuario y contraseña para que un tercero con malas intenciones lo intercepte e intente usarlo en otros servicios o, incluso, que alguien intercepte lo que escribimos en un ordenador de uso público (con un keylogger) y pruebe la contraseña interceptada en otros servicios.
Lo ideal sería recordar las contraseñas, no tenerlas que apuntar en ninguna parte y que siguieran patrones seguros pero, si no tenemos buena memoria, siempre podemos recurrir a algunas reglas que nos ayuden a llegar a un equilibrio entre nuestra memoria y algo seguro; por ejemplo, podemos usar patrón y, sobre éste, introducir variaciones.
Noticia "reciente" sobre robo de contraseñas.
Fuente:http://tecnologia.elpais.com/tecnologia/2016/09/22/actualidad/1474570081_475155.html
El gigante de Internet Yahoo ha reconocido que ha sufrido un robo masivo de datos que ha afectado a 500 millones de cuentas de usuarios, uno de los mayores hackeos de la historia. Supera en alcance de Linkedin, que afectó a 360 millones de perfiles, y al anterior de MySpace, que llegó a 100 millones. Los piratas han robado información personal, como fechas de nacimiento, direcciones de correo electrónico, números de teléfono o contraseñas, según ha manifestado el grupo en un comunicado, en el que añade que los datos bancarios o de las tarjetas de crédito de los usuarios no se vieron afectados.
Yahoo asegura que está trabajando en estrecha coordinación con los servicios de seguridad de Estados Unidos para intentar esclarecer todos los extremos de este robo de información, que fue perpetrado en 2014. Aunque la firma explica en su comunicado que no hay evidencias de que el ataque y robo hayan sido patrocinados por un Estado, la agencia Reuters mantiene que esa es la principal sospecha. Según las primeras declaraciones de la empresa, el ataque viene del exterior y sostienen que está avalado por un gobierno.
La firma subraya que el intruso ya está fuera de los sistemas de Yahoo y que se han tomado todas las medidas para asegurar de nuevo las cuentas pirateadas. Además, recomienda que los usuarios que no han cambiado sus contraseñas desde 2014 lo hagan tan pronto como sea posible, y que también modifiquen las preguntas y respuestas de seguridad. Jaime Blasco, experto en seguridad y líder de los laboratorios de AlienVault, insiste en la necesidad de añadir la opción de doble factor de autenticación. También considera importante reseñar que esa cuenta de correo, y su clave, servía como acceso a dos productos populares del universo Yahoo!, la plataforma de blogs Tumblr y el almacén de fotografía social, Flickr.
Este verano Yahoo admitió que estaba investigando la supuesta incursión de un pirata informático llamado Peace, que aseguró tener las credenciales privadas de 200 millones de usuarios de los servicios de Yahoo desde 2012. Peace vende los datos personales, cuentas de correo electrónico y contraseñas en la 'dark web' por tres bitcoins, equivalentes a 1.800 dólares.
