Robo de contraseñas en servicios gratuitos

Robo de Contraseñas en Servicios gratuitos de Internet

Ha sido conocida de forma reiterada el robo de hash de contraseñas de servicios como yahoo!, hotmail, gmail, y linkedin. Esto es preocupante, porque se está "echando al traste" todo el esfuerzo realizado para enseñarle a los usuarios que deben utilizar contraseñas "fuertes". Aunque el usuario coloque una buena contraseña, ahora además depende también de la seguridad que el sitio le brinde al almacenamiento de su contraseña (o de los hash).

Un hash (valor hash) se obtiene mediante la aplicación de un algoritmo (funcion hash) sobre un texto o documento, generando como resultado una cadena de longitud fija que lo representa de forma única. Es importante aclarar que una función hash nunca generará dos hash idénticos aunque la entrada sea la misma.

Aquí un ejemplo gráfico tomado de Wikipedia:

Apenas ayer se conoció que habían sido robadas más de 400.000 contraseñas del servicio Yahoo! Voices, un servicio utilizado para realizar llamadas por Internet. Hoy nos enteramos que este robo también incluyó el robo de contraseñas de usuarios de Gmail, Hotmail, MSN, AOL, Comcast, SBC Global, Verizon, BellSouth y Live.com. También hoy nos enteramos que fueron robadas 420.000 contraseñas de una red social llamada formspring.

En conclusión si tenemos usuario en alguno de estos servicios, debemos cambiar la contraseña. Si usamos esa misma combinación (correo y contraseña) en otros servicios, también debemos cambiarla.
Como administradores de servicios y consultores en seguridad debemos tomar conciencia de predicar y también aplicar.

Actualizado (16 de Julio): Se conoce el robo de 400.000 cuentas de nvidia y AndroidForums.