Dovrei preoccuparmi di una violazione in cui la mia password non è stata rivelata?

I dati di Patreon includevano l'hash delle password utilizzando l'algoritmo BCrypt best practice del settore (questi dati sono disponibili online attraverso la ricerca di "patreon data dump", sebbene il possesso di esso possa essere un reato in alcune giurisdizioni, quindi non sono collegandolo ad esso). Ciò non significa che siano impossibili da rompere, ma sono relativamente lenti da interrompere. Pertanto, dovresti comunque considerare la password come potenzialmente compromessa.

In particolare, i dati della tabella disponibili tramite fonti come questa rivelano che una tabella chiamata "tblUsers" conteneva un campo chiamato "Password" e anche un'altra tabella chiamata "tblUnverifiedUsers". Data la scala della discarica, sarebbe irresponsabile presumere che questi dati non siano stati consultati. Il CEO di Patreon ha anche fornito una dichiarazione successiva a Motherboard affermando" Codifichiamo tutte le informazioni del modulo fiscale con una chiave RSA a 2048 bit. La chiave utilizzata per decodificare queste informazioni risiede su un server separato e non è stata compromessa. Tutte le password utente vengono sottoposte a hash utilizzando bcrypt con 8 o 12 passaggi, a seconda di quando l'utente si è iscritto. "

L'idea delle password di hashing è quella di fornire quel buffer per modificare i dettagli in caso di violazione - qualsiasi password può essere rotta, dato un tempo sufficiente, indipendentemente dall'algoritmo utilizzato. Dopotutto, ci deve essere un modo per confrontare l'input dell'utente con i dati memorizzati nel database - lo scenario peggiore per l'attaccante è che provano ogni possibile stringa di input attraverso lo stesso algoritmo, con lo stesso salt, fino a quando ottengono lo stesso risultato. Il caso migliore per loro è che non devono preoccuparsi di farlo.

Supponendo che tu stia praticando un buon utilizzo della password, probabilmente stai bene - probabilmente hai già cambiato il tuo login Patreon, e sarà diverso da ogni altro sito che possiedi. Non c'è nulla che tu possa fare riguardo agli altri dati però.

Da un punto di vista teorico, l'elenco dei dati compromessi non include nulla riguardante la password in nessuna forma, quindi se si ritiene che questo elenco sia completo su tutti i dati trapelati, quindi la tua password è sicura.  Le principali minacce causate dai problemi elencati riguardano la privacy, il phishing e lo spamming.

Tuttavia, ho qualche dubbio che questa lista sia davvero completa dal momento che lo stesso co-fondatore di Patreon ha confermato che il database delle password era accesso e consigliato agli utenti di cambiare la loro password.

Mentre affermano di aver applicato le migliori pratiche e utilizzato bcrypt() per proteggere il proprio database delle password, un L'articolo Ars Technica ricorda che il problema di implementazione potrebbe causare punti deboli che consentono agli hacker di estrarre password.