Hackean DLH.net y roban 9 millones de juegos gratuitos

hda

#60 hombre, sí. Pero ya son absurdamente largas las dos. Para romper por fuerza bruta con la potencia de cálculo actual las mías (alfanuméricas con mayúculas y símbolos sin caracteres ascii raros) se estiman 43 000 000 000 000 000 000 años. Creo que va bien así xDDD

B

Los que tenéis las contraseñas apuntadas en el PC que las tenéis puestas en un notepad o las cifráis de alguna manera? porque si te hackean el PC las pillan easy.

2 respuestas
Hades13

#3 Aquí otro de hltv xd

R

#62
Yo uso este gestor:
http://keepass.info/

pero creo, que para usuarios comunes, es mejor este, en su version free:
https://www.dashlane.com

Uséis el que uséis, SE TIENEN QUE CREAR COPIAS DE SEGURIDAD A MANO (en keepas es algo mas fácil que el otro en free, puedes poner la base de datos en onedrive y listos). El otro tenéis que darle a 2 botones.

PD: Google trabaja en un proyecto con los de Dashline, así que supongo que no son unos cojos xD

hda

#62 AES256 / Rijndael bajo una masterkey tal que:

1 respuesta
AikonCWD

#65 Si quieres currarte passwords complejos de petar por fuerza bruta: Longitud > complejidad.

Es mejor utilizar una frase como password en lugar de un conjunto de símbolos extraterrestres, por ejemplo mi password de mediavida:

"vivo en la calle de la almudena numero 13" (sin las comillas) sube a 1 novemdecillion years

2 respuestas
covaga

#35 mi cuenta no sale ni nada. Aún así, donde se activa eso?

EDIT: aqui lo dejo https://myaccount.google.com/security/signinoptions/two-step-verification/enroll-welcome?pli=1

hda

#66 Sí, sí. Yo no digo lo contrario y lo entiendo perfectamente. Solo comento que dadas las longitudes ya considerables, seguir metiendo caracteres es redundar. Obviamente cuanto más larga sea la password, mejor.

  • Si tenemos una base de 10, en una contraseña de 3 dígitos, nos vamos a 310 103

  • Si aumentamos 1 más en la base pero no en la contraseña: 311 113

  • Si aumentamos 1 más en la contraseña pero no en la base: 410 104

104 > 113

1 1 respuesta
Linkito93

#66 Entonces en cuanto a seguridad lo mejor es un programa de estos ¿No?

El problema es como te saquen la Masterkey, suerte en la vida entonces.

B

#68 base de 10, y tres dígitos sería 103. Del 000 al 999

1 1 respuesta
hda

#70 tienes toda la razón.

RaDiuM

Han publicado esto en DLH :

http://www.dlh.net/en/news/51803/zdnet-article-wrong!-dlhnet-was-not-hacked.html

1 respuesta
Ivan69

#72 entonces que hace mi email en esa databse como leak de dlh? xD

1 respuesta
RaDiuM

#73 nono si está claro. Yo he ido a mirar la pw ahi ( tenía una generada random asi que guay ) y vi el artículo.

O eso o que querían darse autobombo ?? No sé para qué pero nunca se sabe

CrossKazama

A mi solo me salia DLH, Gpotato (ni puta idea, nunca he estado) y otra que tampoco he estado nunca pero que la habéis comentado por aquí, onrpg o algo así era.

elfito

#28 En teoría en las BBDD no se deben guardar las password en plain text. Se guardan los hashes. Otra cosa es que las webs donde nos registramos cumplan o no con ese plus de seguridad. Lo mas seguro es que metan un poco de "miedo" diciendo, password (possible plain text).

La otra pregunta es. Es posible que hayan pasado un decrypt a los hashes?

1 respuesta
AikonCWD

#76 No, eso es imposible, un hash no se puede desencriptar. Lo único que se pueden hacer con los hashes es buscar una colisión (improbable e imposible en la practica) o hacer fuerzabruta.

Por eso, para proteger una tabla con passwords hasheados, hay que usar salt en el hash, para evitar el bruteforce.

1 respuesta
elfito

#77 Me he liado. Con decrypt me refería a que obviamente tendrán una BBDD de palabras comunes con sus respectivos hashes. De esa manera si alguien puso "1234" de password (es muy común al ser una web no importante y simplemente para pillar juegos gratis) al extraer el hash se sabe cual es la pass en plain text. De ahí la posibilidad que pongan lo de (possible plain text)

Ya había leído lo de salt, pero ya se implementa a este nivel del webs?

Y la pregunta retard del día: Se va a basar la mejora de la seguridad de passwords aliñándolas con mas claves estilo salt? No se, pimienta será la siguiente? xDDDD

1 1 respuesta
NotToBit

#78 Los algoritmos de hasheo se apoyan en una cadena para obtener el hash de cada entrada, cuando una web implementa uno de éstos algoritmos, elige una cadena para darle, por ejemplo "M1_C4d3n@_p4ra_h@s#3Ar". Para usar un diccionario de palabras con sus hashes, necesitas saber con qué cadena realizar el diccionario. Es como una especie de salt general. También necesitarías saber cuantas veces se pasa el algoritmo para cada contraseña.
A parte de eso, utilizar salteo evita que contraseñas iguales colisionen. El que no lo utiliza es porque no quiere, porque es una recomendación básica de seguridad de contraseñas.

1
Clotmeaup

¿Y en cuanto a hacer que Chrome te recuerde las contraseñas mejor pasar de ello o no? ¿Es seguro?

Bueno, voy a ir descargando el Keepass.

Edit: Al final me he descargado la extensión de LastPass para Chrome, que parece que está bastante bien.

ThOrKeMaD

Se lo merecen. Valiente basura de sistema de obteción de keys.

weah_dany

Yo entraba con el Facebook, no recuerdo si tenía cuenta normal, en cualquier caso para webs así uso una contraseña que no tengo en los sitios importantes, así que tampoco pasa nada.

Lecherito

Yo uso LastPass y tan contento

B

¿Y qué pasa si tu cuenta de DLH era la de facebook?

1 respuesta
eXtreM3

No sé si tendrá que ver, pero esta mañana me he encontrado con mi contraseña de Spotify cambiada, vamos que no me dejaba acceder con la de siempre. He tenido que restaurarla :\ wtf

1 respuesta
NickNack

Tener un website con transacciones y datos importantes y no usar salt en el proceso, es para coger al dev, ponerlo en la plaza mayor del pueblo, y darle azotes en el culo hasta que se ponga color magenta.

#85 tio, leete las 3 lineas del mail o las 3 lineas de la web para cambiar la pass xDD

1
RaWnNnNn

#84 Nada realmente grave. Como facebook usa Oauth lo unico que sacarían sería los datos que se le den a DLH, nombre y poco más. La contraseña nunca.

2
tada

Mi correo sale en 12 bases de datos hackeadas, not bad.. xD

Javimorga

Pues gracias a esto ya sé quién es el capullo que me roba siempre el nombre de usuario xD

LiNGoTaZoS

hackeado en dlh y en el HoN

pues yo tenía la contraseña que te daban de serie en dlh.