Hace unas horas saltaba la noticia de que 6 millones de contraseñas de LinkedIn habían sido expuestas. Muchos tenéis cuenta en el servicio, así que vamos a tratar de resolveros una duda: ¿Cómo saber si tu contraseña ha sido comprometida?
Antes de nada, algunos detalles técnicos: lo que se ha liberado es una lista de hashes SHA1 de las contraseñas, una especie de huella digital de la contraseña. En la lista que está disponible por Internet hay algunos hashes que comienzan con cinco ceros: esos cinco ceros indica que ya se ha descubierto la contraseña correspondiente a ese hash.
¿Cómo comprobamos entonces si nuestra contraseña está ahí? Primero obtenemos el hash SHA1 de nuestra contraseña. Aunque hay webs que te permiten obtener el hash SHA1 de tu contraseña fácilmente, os recomiendo que os fiéis sólo de lo que esté en vuestro ordenador.
En Linux y Mac obtener el hash SHA1 es sencillo: abrid una consola y ejecutad sha1sum en Linux o shasum en Mac. Escribid vuestra contraseña y pulsad Ctrl – D (en Mac pulsad también Ctrl-D, no Comando). En Windows la cosa se complica un poco. Descargad la utilidad sha1sum del sitio de GNUPG, y escribid en un fichero vuestra contraseña. Abrid una consola (Inicio->Ejecutar, escribe cmd y pulsa enter), arrastra primero el ejecutable a la ventana de comandos y después el archivo que has creado con tu contraseña, asegurándote de que queda un espacio entre el nombre del ejecutable y el del archivo.
De cualquiera de las formas, ya tendréis vuestro hash SHA1. Sólo queda buscarlo en la lista de hashes. Abridla con el Bloc de notas o similar y haced clic en la opción de búsqueda (debería estar en el menú Edición, aunque depende del programa que uséis). Primero buscad el hash que hayáis obtenido. Si no lo encontráis, probad sustituyendo los cinco primeros caracteres por ceros. Si sigue sin aparecer, enhorabuena, vuestra contraseña no ha sido comprometida.
Espero que estos pasos os sean útiles. Aun así, cambiad vuestra contraseña y, como digo arriba, no os fiéis de servicios online que comprueben si vuestra contraseña ha sido comprometida. Podrían tener buenas intenciones, pero es un riesgo que yo no correría.
Descarga | Sha1Sum para Windows | Lista de hashes
Más información | Hacker News
Ver 17 comentarios
17 comentarios
Guillermo
ante tantas cosas que hacer para saber si es que ha sido comprometida, ¿no sería mejor cambiarla?
marcsjb
Ya no se puede descargar la lista de hashes. Alguien la puede resubir?
Jorge Ces
Lo más triste es que LinkedIn no ha dicho ni mu a sus usuarios, y debe haber miles que no tienen conocimiento de esto que está pasando.
adarauzo
Nunca había visto a mi ordenador sufrir tanto como ahora que está intentando abrir el archivo de texto con las contraseñas
cristianer
Cuando las habrán robado? Porque yo cambié mi contraseña hace unos 2 días.
jmsr
Search "000001e4c9b93f3f0682250b6cf8331b7ee68fd8" (1 hits in 1 files) Line 4489435
Contraseñas como 'password' y 'qwerty' no son seguras =)
ineedu2_1
no he entendido lo de crear un archivo con tu contraseña. Se refiere a crear un txt y poner dentro la clave o a crear un txt cambiando el nombre con la clave o cambiar la extension en alguno de los dos casos a otra,... alguien puede aclararlo?
v1ct0r
No lo entiendo. No he visto el archivo de hashes, pero hay dos posibilidades: cada hash está acompañado de su usuario correspondiente, con lo cual basta con ver el nombre del usuario para saber si la tuya ha sido "comprometida". solo es una lista de hashes, sin nombres de usuario, lo que quiere decir que será muy complicado que prueben 6 millones de posibilidades para acceder a una cuenta.
102927
Ya no hay acceso a la lista, algún otro lugar donde se pueda ver?