El FBI compartirá contraseñas comprometidas con Have I Been Pwned
El FBI pronto comenzará a compartir contraseñas comprometidas con el servicio ‘Password Pwned’ de Have I Been Pwned. La agencia compartirá contraseñas que descubrieron durante las investigaciones policiales.
El sitio de notificación de filtración de datos Have I Been Pwned incluye un servicio llamado Pwned Passwords que permite a los usuarios buscar contraseñas comprometidas conocidas.
Al usar este servicio, un visitante puede ingresar una contraseña y ver cuántas veces se ha encontrado esa contraseña en una infracción. Por ejemplo, si ingresamos la contraseña ‘passoword’, el servicio indica que se ha visto 3,861,493 veces en filtraciones de datos.
Hoy, el creador de Have I Been Pwned, Troy Hunt, anunció que el FBI pronto introduciría contraseñas comprometidas encontradas durante las investigaciones policiales. Estas contraseñas estarán disponibles en el servicio Pwned Password.
Al proporcionar esta fuente, el FBI permitirá a los administradores y usuarios verificar las contraseñas que sabemos que se usan con fines maliciosos. Luego, los administradores pueden cambiar las contraseñas antes de que se utilicen en ataques de relleno de credenciales e infracciones de redes.
Beneficios de la asociación
“Estamos muy contentos de asociarnos con HIBP en este importante proyecto para proteger a las víctimas del robo de credenciales en línea. Es otro ejemplo de la importancia de las asociaciones público-privadas en la lucha contra el ciberdelito”.
Bryan A. Vorndran, subdirector de Cyber División, FBI.
El FBI compartirá las contraseñas como pares de hash SHA-1 y NTLM que luego se pueden buscar usando el servicio o descargar como parte de la lista de contraseñas sin conexión de Pwned Password.
Password Pwned permite a los usuarios descargar las contraseñas comprometidas como listas de contraseñas con hash SHA-1 o NTLM. Los administradores de Windows pueden utilizar estas listas sin conexión para comprobar si se están utilizando en su red.
Puedes descargar estas listas con los hashes ordenados alfabéticamente o por su prevalencia. Por ejemplo, la siguiente lista muestra que el hash NTLM ’32ED87BDB5FDC5E9CBA88547376818D4′ se ha utilizado más de 24 millones de veces.
No es sorprendente que este hash NTLM sea para la contraseña ‘123456‘.
Para ayudar a facilitar esta nueva asociación, Hunt ha creado Password Pwned de código abierto a través de .NET Foundation. Él está pidiendo a otros desarrolladores que ayuden a crear una API de “Ingestión de contraseña“.
El FBI y otras agencias de aplicación de la ley pueden usar esta API para ingresar contraseñas comprometidas en la base de datos de Password Pwned.
Recordemos que en algún momento Hunt consideró vender Have I Been Pwned, sin embargo, con este anuncio parece que ya no está considerando esa posibilidad.
También te recuerdo que en Hackwise disponemos de un buscador de leaks para poder verificar si tus credenciales se han visto comprometidas en alguna filtración de datos. Puedes acceder aquí.