Administrador del foro comprometido

Incluso una clave de 2048 bits se puede descifrar en una cantidad de tiempo modesta con algunos de los módulos de descifrado de código.

La búsqueda de un protocolo de autenticación que no se pueda falsificar es, en cierto modo, el Santo Grial de la computación.

El escáner de huellas dactilares de este portátil era tan poco fiable que lo deshabilité.

Si alguna vez has visto la película GATTACA, incluso las pruebas de ADN estaban siendo falsificadas. (Y el movimiento para prohibir o limitar la recopilación y el almacenamiento de parámetros biométricos parece estar ganando impulso).

Me encanta esa película

Eventualmente, claro:

2500×2500 595 KB

No he revisado el código, ¿qué método de cifrado se utiliza en las contraseñas en DIscourse?

Supongo que muy pocos administradores de foros tienen acceso a hardware de nivel ChatGPT.

El método de hash utilizado es pbkdf2.

Aumentamos el número de rondas recientemente debido a los avances en los procesadores y las contraseñas existentes se actualizan automáticamente al mayor número de rondas en el inicio de sesión.

Justo, pero eso no cambia mucho.

La conclusión es “cuanto más largo, mejor”.

Claro.

Pero si la pregunta es si un administrador malintencionado es una amenaza real debido a los hashes, la respuesta es no.

No estoy 100% de acuerdo con eso.
Un administrador malintencionado puede eludir al menos un mecanismo de defensa importante (limitación de velocidad en los intentos de contraseña, porque pueden hacer intentos sin conexión si poseen la contraseña cifrada). Desestimar eso como algo sin importancia o como que no es una amenaza podría considerarse negligencia.

No estoy seguro de qué es el “hardware de ChatGPT” (aparte de un intento de usar palabras de moda para algo completamente no relacionado), pero esta tabla no incluye ataques de diccionario, lo cual es una omisión real y hace que las cosas parezcan más difíciles de lo que realmente son.

SolarWinds123

@codergautam espero que hayas tomado medidas para evitar que esto vuelva a suceder en tu foro. ¡Buena suerte!

Así que…

esto es lo que he hecho hasta ahora.

• He creado un tema fijado y otro banner explicando el incidente, diciendo a todos que restablezcan su contraseña y habiliten la autenticación de dos factores (2FA).

• He habilitado el requisito de 2FA para los moderadores.

• He asesorado a los moderadores sobre este ataque y sobre cómo prevenir este tipo de ataques en el futuro.

La mayoría de los usuarios activos han restablecido su contraseña, pero eso es solo alrededor del 10% del foro. Realmente no quiero restablecer la contraseña de todos, ya que eso solo causará confusión si alguna vez deciden volver a iniciar sesión.

Sí, pero ¿qué pasa con la prevención de una intrusión de ingeniería social similar y la protección de los administradores?

es mi culpa al 100%. He decidido no dar más permisos de administrador a nadie, especialmente a personas que no he conocido y en las que no confío en la vida real.

Para más detalles: La persona que realizó la filtración de datos recibió una suspensión permanente del foro porque nunca más se le volvió a confiar.

image2048×1097 166 KB

Quizás poner en lista negra su IP podría prevenir más daños.

Tener CSGO en tu nombre de usuario podría ser motivo suficiente para una suspensión…

Eso es obligatorio para todos los espacios seguros en Internet (por eso a algunos nos gustan los mensajes privados reales -cifrados-).

Los ataques de ingeniería social se basan en el rasgo demasiado humano de confiar en las personas. ¡Y hay algunos oradores muy elocuentes por ahí!

Crearon cuentas alternativas y, una vez que lo vimos, suspendimos permanentemente esas cuentas también.

¿por qué no bloquear también su IP? yo al menos eliminaría una cuenta alternativa y bloquearía la IP.

¿Porque cambiar la IP, si ha sido estática en primer lugar, ocurre más rápido que prohibir?

en realidad funciona mejor de lo que crees. He detenido a varios usuarios problemáticos con él. Encuentro que la suspensión es más fácil de eludir. Además, ¿por qué no usarías todos los métodos disponibles para detener una acción adicional de esta persona?