Recientemente el popular foro HTCMania ha sufrido un robo de su base de datos afectando a 1.5 millones de s. Actualmente en servicios como HaveIBeenPwned ya han dado de alta la base de datos, para comprobar si nuestra cuenta de email está afectada. En este artículo os vamos a explicar la importancia de guardar las contraseñas de los s hasheadas, y no guardarlas en texto claro.
El robo de datos en HTCMania: así ocurrió
Los atacantes realmente no atacaron el portal de HTCMania, sino directamente a su proveedor de Hosting, Comvive, y posteriormente se hicieron con su base de datos con una gran cantidad de información. La información que hay en esta base de datos que le han robado a HTCmania es:
- Nombre de
- Dirección de correo electrónico
- Contraseña (hasheada)
- Histórico de contraseñas (hasheada)
- Direcciones IP desde donde se conectan los s
- Fecha de cumpleaños
El del foro de HTCMania, Jorgekai, explicó a principios de marzo que se había detectado un posible no autorizado en el foro, y recomendaba cambiar la contraseña a todos los s cuando entraban al foro.
Un detalle importante es que el de HTCmania, no envió un correo electrónico masivo a todos los s registrados, según el no lo hizo porque durante muchos años no pidieron el correo de registro. ¿Y los que sí tenían su email? Pues si no entraban en HTCmania, o leían en diferentes webs que
Aunque utilicen dos iteracciones de MD5, lo que se hace con esto es tardar en torno al doble para poder adivinar la contraseña, pero no es recomendable su utilización por seguridad, ya que es muy rápido de calcular, y con programas gratuitos como Hashcat, y utilizando la potencia de cómputo de las GPU de hoy en día, es realmente rápido poder crackear estas contraseñas. Por ejemplo, para un hardware de una U Intel Core i7-6700K y una GPU Nvidia RTX 2080 Founders Edition, se puede crackear el hash md5($salt.md5($)) como el de HTCMania a una velocidad de unos 10406.6 MH/s, 1MH/s significa 1 millón de hashes de contraseñas por segundo.
Actualmente existen hashes más seguros para almacenar contraseñas, como SHA2-256, o SHA2-512. No obstante, existen funciones de hash que están específicamente diseñadas para usarlas con contraseñas. Algunas de las funciones hash recomendables para almacenar contraseñas son scrypt y Argon2, por ejemplo. En el foro de ADSLZone utilizamos XenForo, y este foro utiliza una criptografía bastante más robusta, concretamente utiliza sha256(sha256() . salt) que es mucho más seguro que MD5 de HTCMania.
Tal y como habéis visto, almacenar el hash de las contraseñas de los s es fundamental, pero también es importantísimo utilizar un hash robusto y que se considere seguro actualmente, y no utilizar MD5 que hace años dejó de ser una alternativa válida.