Hace unas horas saltaba la noticia de que 6 millones de contraseñas de LinkedIn habían sido expuestas. Muchos tenéis cuenta en el servicio, así que vamos a tratar de resolveros una duda: ¿Cómo saber si tu contraseña ha sido comprometida?
Antes de nada, algunos detalles técnicos: lo que se ha liberado es una lista de hashes SHA1 de las contraseñas, una especie de huella digital de la contraseña. En la lista que está disponible por Internet hay algunos hashes que comienzan con cinco ceros: esos cinco ceros indica que ya se ha descubierto la contraseña correspondiente a ese hash.
¿Cómo comprobamos entonces si nuestra contraseña está ahí? Primero obtenemos el hash SHA1 de nuestra contraseña. Aunque hay webs que te permiten obtener el hash SHA1 de tu contraseña fácilmente, os recomiendo que os fiéis sólo de lo que esté en vuestro ordenador.
En Linux y Mac obtener el hash SHA1 es sencillo: abrid una consola y ejecutad sha1sum en Linux o shasum en Mac. Escribid vuestra contraseña y pulsad Ctrl – D (en Mac pulsad también Ctrl-D, no Comando). En Windows la cosa se complica un poco. Descargad la utilidad sha1sum del sitio de GNUPG, y escribid en un fichero vuestra contraseña. Abrid una consola (Inicio->Ejecutar, escribe cmd y pulsa enter), arrastra primero el ejecutable a la ventana de comandos y después el archivo que has creado con tu contraseña, asegurándote de que queda un espacio entre el nombre del ejecutable y el del archivo.
De cualquiera de las formas, ya tendréis vuestro hash SHA1. Sólo queda buscarlo en la lista de hashes. Abridla con el Bloc de notas o similar y haced clic en la opción de búsqueda (debería estar en el menú Edición, aunque depende del programa que uséis). Primero buscad el hash que hayáis obtenido. Si no lo encontráis, probad sustituyendo los cinco primeros caracteres por ceros. Si sigue sin aparecer, enhorabuena, vuestra contraseña no ha sido comprometida.
Espero que estos pasos os sean útiles. Aun así, cambiad vuestra contraseña y, como digo arriba, no os fiéis de servicios online que comprueben si vuestra contraseña ha sido comprometida. Podrían tener buenas intenciones, pero es un riesgo que yo no correría.
Descarga | Sha1Sum para Windows | Lista de hashes
Más información | Hacker News