Cómo saber si su correo electrónico o contraseña podrían ser recuperados por Pirates

En este artículo, sabrá si los hackers han podido obtener sus manos en su dirección de correo electrónico o contraseña.

Vamos a utilizar el sitio de HOBIBEENPWNED de la búsqueda de Troy Australian Expert de seguridad, cuyo La última actualización nos permite buscar contraseñas para averiguar si se encontraron en la naturaleza siguiendo una fuga de datos después de la piratería.

Para comprender mejor y poner las cosas en su contexto: no le garantizará en un 100% Cierta manera de que nadie ha encontrado su contraseña, o incluso que le serán hackeados. Pero esto le ayudará a saber si su contraseña o dirección de correo electrónico son potencialmente «conocidas» en Internet. Con las consecuencias de que esto puede engendrar: Spamming, Phishing, Phishing Crawing, Identity Usurpation, Hacking, etc…

HeadEy?

Si no conoce el sitio todavía hayisBeenPwned, un Se necesita una pequeña explicación. Y comenzar, ¿cuál es este nombre?

El nombre del sitio proviene del inglés «¿Me han pwned?» que podemos traducir por «¿Lo hice (e)?

Este sitio fue creado por un investigador de seguridad llamado Troy Hunt, que decidió recuperar los datos compartidos por los hackers después de su piratería para ofrecer a todos los Internet. Los usuarios para ver si su dirección de correo electrónico o contraseñas se encuentran en estos datos robados. De forma gratuita.

¿Tiene dudas sobre la legitimidad de este sitio? Tenga en cuenta que es utilizado por los gobiernos británicos y australianos para monitorear los datos robados del personal del gobierno.

También hablé de ello en este artículo.

¿Pero qué datos hackeados? ¿Por qué habría información sobre mí?

Simplemente porque cualquier usuario «normal» está registrado en varios sitios web populares. Y a veces, estos sitios web populares están hackeando, exponiendo los datos de sus usuarios a todos. Cuando hablamos de sitios «populares», pensamos, por ejemplo, en Dailymotion, LinkedIn, Adobe, Pizza de Domino, Yahoo, Utorrent, Snapchat o Badoo. Estos sitios te dicen algo? ¿Estás registrado en uno de ellos? Así que estás preocupado. HaveIBBEENPWNED sabe más de 100 millones de datos para cada sitio citado anteriormente, ¡y eso no es todo! La lista de sitios hackeados es muy grande (270 sitios en este momento).

¿Cómo probar si mi dirección de correo electrónico podría recuperarse a través de la piratería?

c ‘es muy simple, Simplemente vaya a la página principal de HaveBeenpwned e ingrese su dirección en el campo.

Esta no es mi dirección de correo electrónico, pero solo por ejemplo, esta está en 16 fugas de datos a través de sitios como 000WebHost, Adobe, Dailymotion o pokebip.

Le propongo que intente con sus direcciones de correo electrónico ahora.

«Compruebe si su dirección de correo electrónico ha sido recuperada por hackers» Haga clic para TweetShare en FacebookCompartir en LinkedIn

Mi dirección está en una fuga de datos, ¿qué debo hacer?

Desafortunadamente, es más probable que aprenda que su dirección ha sido expuesta a una fuga de datos que en lo contrario. Dependiendo de los datos comprometidos (HOBIBEENPWNED le indicará cuáles en la línea de datos comprometidos).

Toda la información recuperada por el sitio no está disponible de color claro. Esto significa que no necesariamente encontrará su contraseña a medida que lo escribe en el teclado, ya que generalmente se cifrará originalmente, en el sitio que ha sido hackeado. Está encriptado porque es un estándar al administrar un sitio web: usted dígase contraseñas de usuario en bases de datos.

Dos cosas para notar:

  1. Esto no implica que su contraseña sea indescifreable.
  2. Esto le da una advertencia seria que le presiona para cambiar las contraseñas de las direcciones de correo electrónico relevantes y todas las cuentas utilizando la misma contraseña.

¿Por qué cambiar? ¿Todas las cuentas usando la misma contraseña? Simplemente para evitar lo que se llama el relleno de credenciales para aprovechar los usuarios que tienen la misma contraseña y la misma dirección de correo electrónico a través de diferentes sitios, para piratearlos.

Saura- I me registraron en un sentido sensible / Sitio incómodo?

No. El sitio ha planeado este caso (sabiendo que los sitios de citas extra-maritales han sido hackeadas) y, por lo tanto, han impedido el acceso público a esta información. Dicho esto, puede verificar su dirección de correo electrónico y, por lo tanto, saber si su dirección de correo electrónico está en estos datos confidenciales.

¿Cómo probar si mi contraseña podría recuperarse después de una piratería?

La contraseña es un DATOS MUY sensible, le aseguro de antemano, no se trata de comunicar su contraseña a nadie, si solo para «prueba» si se conoce. Para esto, usaremos un esquema formidable que nos permitirá «cifrar» nuestra contraseña y comparar este «cifrado» con las contraseñas encriptadas que está experimentando el sitio HABIBEENPWNED. ¡Y hablar de contraseñas que han experimentado TODIBEENPWND, saben que en el momento de escribir estas líneas, 501 millones de contraseñas únicas, o 9 GB de contraseñas!

La siguiente página le permite probar si su contraseña se conoce pero Antes de hacer clic, le propongo agregar un nivel adicional de seguridad antes de pasar su contraseña. El riesgo cero no existe, entonces tome precauciones:

primero «cifraremos» nuestra contraseña usando el algoritmo de hash sha-1.

NOTA PARA CONOISSEURS: Incluso si uso la palabra «Actual», es un hash y no «cifrado» estrictamente hablando. Porque con SHA-1 no es posible encontrar los datos con ningún «descifrado». Y eso cae bien, eso es lo que queremos conseguir. Compararemos los hashs entre ellos sin tener que conocer la contraseña inicial. Funciona porque, por ejemplo, el hash «MOTHdepasse» es 12EF45, por lo que si probamos 12EF45 y que existe, es que existe «Polilla».

De hecho, HanibbeenPwned US Le permite pasar por Una API para probar una palabra pasada en SHA-1. Mejor aún, nos permite enviar esa parte del hash para obtener todas las contraseñas que comienzan con este hash. Tendremos que verificar si nuestro hash está en la lista devuelta. Por lo tanto, es necesario generar un paso: para generar el hash SHA-1 de nuestra contraseña… y allí surge el mismo problema: ¿Es posible hacerlo en línea, pero queremos compartir nuestra contraseña en otro sitio? Tanto lo hace directamente en TENIBBEENPWNED… O crearemos nuestro propio script local que nos permite realizar este «hash sha-1».

Decidimos crear un guión porque, desafortunadamente, no hay herramientas básicas. En Windows nos permite hacer un hash SHA-1 HASH.

Método con un script de PowerShell

Descargo de responsabilidad: Puede usar cualquier otra forma de generar un hash, el método siguiente es uno de El más directo en Windows, pero nada lo requiere.

Puede abrir el bloc de notas de Windows y copiar el siguiente texto (sin preocupaciones, es una función que solo calculará el hash SHA-1 de una cadena de caracteres dada ):

 FUNCIÓN GET-STRINGHASH ([STRING] $ STRING) {$ STRINGBUILDER = System.Text.Text.Text.TringBuilder [Sistema.security.cryptography.hashalgorithm]:: Crear ("SHA1"). ComputeHash ([System.Text.Encoding]:: utf8.getbytes ($ string) |% {[void] $ stringbuilder.append ($ _. Tostring ("x2"))} $ stringbuilder.tostring ()} $ pase = Leer-ho ST -PROMPT 'Introduzca una expresión picada en Sha1'get-StringHash $ PassWrite-host "Presione una tecla para salir..." $ pausa = $ host.ui.rawui.readkey ("Noecho, includekeydown") 

Luego guarde este archivo debajo de un nombre que termina con la extensión «.ps1»:

NOTA Las comillas en torno al nombre del archivo que son necesarias.

Puede entonces Haga clic en su archivo y haga clic en «Ejecutar con PowerShell».

Este finalmente le pedirá que ingrese una contraseña y generará el hash SHA-1 presionando ENTER.

Para copiar el hash, simplemente selecciónelo y haga clic con el botón derecho.

Tengo aquí la contraseña super segura «MDP».

Si alguna vez tiene dudas o no sabe cómo hacerlo. Hágalo, le propongo que no hagas nada ni use otro método: programa C #, script de JavaScript… etc. para generar el SHA-1 de una palabra de una palabra pasada. También está obligado a probar su propia contraseña si no desea.

Ahora admito que tenemos un hash sha-1, el «Mien» IT: 00d70c561892a94980befd12a400e26aeb4b8599

Finalmente Verifique el sitio de HOBIBEENPWN, y más precisamente, pasándolo a la API (espere un poco si lo ha hecho con su contraseña real, veremos cómo lo hace aún más de forma segura en unos pocos segundos):

https://api.pwnedpasswords.com/pwnedpassword/00d70c561892a94980befd12a40099

TIENE QUE TIENE QUE IR EN LA URL y no en otro campo de la investigación.

Nota 2: La API Cambios regularmente, y no es posible que haga un seguimiento de cada cambio en vivo en la traza. Le propongo leer la documentación si los enlaces / métodos presentados aquí no funcionan más: https://haveibbeenpwned.com/api/v2 // P> «Pero eso, además, 339 personas han usado la contraseña» MDP «entre todos ¡Datos recuperados!

También puede verificarlo escribiendo directamente «MDP» en la siguiente página: https: / /haveibbeenpwned.com/passwords «/ p>» H3ycore mejor

Nosotros Ni siquiera están obligados a enviar todo el hash, sino solo los primeros 5 caracteres / números. En este caso, el sitio nos envía todos los hashs que comienzan con la misma serie y depende de nosotros buscar el resto de este hash de la lista devuelta (una forma de mejorar aún más la seguridad de la transferencia de datos):

https://api.pwnedpasswords.com/nage/00d70

Tenga en cuenta que el enlace ha cambiado, ahora usa «rango».

y tenemos nuestra contraseña de MDP Aquí:

Los hashs devueltos por el sitio están incompletos, solo la parte después de los primeros 5 caracteres o números y se muestran. Así que tienes que buscar desde el 6º carácter de tu hash.

¿Implica esto, le implican que la contraseña de mi dirección de correo electrónico sepa? (y potencialmente mis otras cuentas)

no, no necesariamente. Especialmente si otro usuario usa la misma contraseña que usted. En el ejemplo anterior, no hay un usuario que creó 339 cuentas con la contraseña «MDP», aunque?

Pero en este caso, es todo lo mismo, una advertencia de que su contraseña es potencialmente fácil de encontrar con automatizado instrumentos. En otras palabras, si su contraseña es su dirección de correo electrónico se detecta, cambie mejor este pareja de correo electrónico / contraseña por medida de seguridad.

¿Puedo obtener una alerta en caso de piratería que contengan mi información ?

Sí y esta es una de las características más interesantes del sitio HOBIBBEENPWNED. Para hacer esto, haga clic en el enlace «Notifiy ME» en la parte superior de la pantalla e ingrese su dirección de correo electrónico.

Preguntas, comentarios o cosas para agregar, no dude en escribir un comentario.

fuente y explicaciones adicionales.

¿Qué pasa si su cuenta ha sido hackeada?

E-BOOK PDF 6 errores adorados por informáticos informáticos

que siempre lo harán vulnerables en los mitos de Lino del antivirus perfecto… lo que los piratas saber acerca de youtc…

Descargo mi guía gratuita ×

¿En qué dirección de correo electrónico le gustaría recibir la guía?

artículos similares

¡Un «hacker ético» informa a los usuarios de Internet a los usuarios de Internet que sus cuentas se piratean?

Este es en cualquier caso el correo electrónico que algunos usuarios (anglófonos por el momento). El video que habla: https://www.youtube.com/watch?v=0rvl3ywqy8m Una persona misteriosa le muestra su contraseña un correo electrónico llega de un extraño que se presenta como una persona «anti-hackers» mientras proporciona la palabra…

Escriba sus contraseñas de manera segura cómo crear sus contraseñas de la mejor manera

y si le dije que puede presionar sus contraseñas sin sacarlas, incluso si un obstáculo está en su computadora ? ¿Y eso, sin usar software? En este artículo, no nos contentaremos para darnos consejos habituales en el…

por qué GBT3FC79ZMMEFFJ es una contraseña incorrecta

Hablamos mucho de él cuando se trata de la seguridad en Internet: las contraseñas son datos no solo son sensibles, pero especialmente para crear y usar con gran cuidado. Por eso quiero mostrarte en el siguiente artículo, ¿por qué GBT3FC79ZMMMEFJ es en realidad un mal…

Deja un comentario

Tu dirección de correo electrónico no será publicada.