Únete a la comunidad

Forma parte de esta comunidad y participa en las decisiones sobre el futuro de Librecraft

Regístrate
  1. Este sitio usa cookies técnicas. Learn More.

Aviso de seguridad

Tema en 'Avisos' comenzado por Kudo, 26 de Enero de 2021.

Usuarios viendo el post (Usuarios: 0, Invitados: 0)

  1. Kudo

    Kudo
    Staff Administrador/a global Equipo técnico Verificado/a

    Se incorporó:
    14 de Junio de 2017
    Mensajes:
    14.787
    Puntos de trofeos:
    523
    Ratings:
    +10.499
    IGN:
    Librecraft
    #1 Kudo, 26 de Enero de 2021
    Este es un aviso de seguridad dirigido a aquellos usuarios que utilizan la misma contraseña en librecraft y otros servidores.

    Recientemente se han producido incursiones en las bases de datos de registros de otros servidores haciendo que la información almacenada en las mismas esté públicamente en internet. No indicamos nombres de servidores ya que no queremos faltar a la reputación que pueden tener y tampoco podemos confirmarlos.

    ¿Por qué me debería importar esto si yo juego en Librecraft? Librecraft no ha tenido incidentes de seguridad con la base de datos de registros, pero se hace este aviso públicamente porque somos conscientes de que hay jugadores que tienen la mala práctica de utilizar la misma contraseña en otros servidores.

    Te recomendamos altamente que cambies tu contraseña si la utilizas en otros servidores (tutorial: https://go.librecraft.com/change o mediante correo https://go.librecraft.com/correo) para prevenir problemas en un futuro. SI ERES PREMIUM NO USES NUNCA LA CONTRASEÑA DE TU CUENTA PREMIUM. TAMPOCO USES LA MISMA DE TU CORREO O OTRA QUE USES EN SITIOS IMPORTANTES. Te recomendamos una contraseña diferente (o variada de la que sueles usar, siendo esto menos recomendable).

    ¿Las bases de datos de otros servidores que han sido filtradas contenían claves cifradas? ¿Estoy seguro? Depende. Nos ha llegado a nuestro conocimiento que algunas bases de datos contenían las contraseñas sin cifrar, lo cual supone un error de seguridad gravísimo y muy básico. Otras bases de datos sí estaban encriptadas, pero sigue existiendo el riesgo. Por seguridad, si usabas la contraseña en librecraft (o incluso en correos y cosas más importantes, deberías cambiarla).

    Si no estás seguro de si tu contraseña fue filtrada, puedes aprovechar para cambiarla, siempre está bien hacerlo. También te recomendamos añadir un email de recuperación para poder recuperar tu contraseña e impedir que te roben la cuenta mediante https://go.librecraft.com/forgot. Son 5 minutos que te pueden evitar problemas.



    Aprovechamos este tema para hacer mención a una base de datos de "librecraft" que circula por la red desde mayo de 2020. Sí, la base de datos es de Librecraft. ¿Debería preocupar? Para nada.

    La base de datos que está circulando por la red es una base de datos que acumula estadísticas de jugadores de una modalidad (básicamente tus puntos). No recomendamos descargarla por si incluyen virus con ella, pero es lo que incluye. Los mismos datos que se podían consultar en perfiles, están en la base de datos. Los datos incluyen nombre de jugador, la uuid (que es un valor generado en base al nombre de usuario y que cualquiera teniendo el nombre puede generar puesto que es como "el nombre único de la cuenta en el sistema") y estadísticas de ganadas, perdidas... La base de datos también contiene el sistema de permisos, básicamente una relación que dice "el nombre x es vip, el nombre y es admin, el jugador xxx tiene el permiso xxx". También existen 10 direcciones ips por el archivo filtrado que corresponden a las direcciones ip de los servidores de librecraft y que tenían acceso.

    Por tanto, no existe riesgo alguno, no hay información personal, secreta ni confidencial ni hubo acceso a más partes del sistema y pedimos a los sitios webs que recogen como "librecraft data break" que rectifiquen dicha información para evitar alarmismo innecesario.

    Un saludo.

    Cuando tu inicias sesión en un sitio web, se envía la contraseña que indicas y se compara con la almacenada en la base de datos. Si es la misma, eso garantiza que es correcta y se autoriza.

    Cuando las contraseñas se almacenan sin encriptar, la contraseña se puede ver en la base de datos por lo que cuando inicias sesión, simplemente se comparan. (Ejemplo: mi contraseña es "123456" en la base de datos figura "123456").

    Cuando las contraseñas están encriptadas te puedes preguntar cómo sabemos la contraseña si es correcta o no. Muy sencillo. Para evitar que la contraseña sea visible, la contraseña se encripta (básicamente, se aplican una serie de algoritmos a la clave introducida). Cuando tu inicies sesión, la contraseña que introduces y lo que está almacenado en la base de datos no tiene nada que ver. ¿Cómo sabemos si es correcta? La contraseña que introduces la encriptamos con el mismo algoritmo (hacemos las mismas operaciones). Esto genera un resultado que -si es la misma contraseña- será igual a los datos almacenados.

    (Ejemplo: tras pasar la contraseña "123456" por el algoritmo nos genera "3ue26)·)0==" que es lo que se guarda en la base de datos. Si pones de contraseña "123456" el algoritmo genera siempre el mismo valor. Si pones otro valor, puede que no genere el mismo valor, por ejemplo "dn3hdj3==", que al ser diferente, indica que la contraseña es incorrecta). [Más adelante veremos porqué "puede" no generar el mismo valor, que es lo que se llama colisión].

    ¿Pero entonces, las contraseñas están encriptadas y no se pueden adivinar? En principio no es posible. No obstante, se puede hacer una cosa que es básicamente fuerza bruta. Si conoces el algoritmo (muchas veces público) puedes empezar a probar con todos los símbolos, por ejemplo "desde aaaaa hasta zzzz" y así con todos los caracteres. Esto requiere potencia y tiempo de ordenadores, pero se podrían encriptar todos los caracteres disponibles y almacenar los resultados junto al valor probado. ¿Entonces cómo saben la contaseña? Fácil. Al generar todas las posibles combinaciones del algoritmo se hace una búsqueda reversa, buscar tu contraseña encriptada en la lista generada y ver cuales son los caracteres que se forman. Generalmente suelen ser únicos, pero puede haber colisiones, que veremos más adelante.

    ¿Entonces todas las contraseñas encriptadas se pueden saltar? Sí, pero requiere más o menos tiempo. Lo que se suele hacer para dificultar los listados, es añadir a tu contraseña unos caracteres aleatorios o "salt", haciendo que el algoritmo varie y por tanto, impidiendo generar un listado general (habría que generar un listado específico para cada salt lo cual sigue permitiendo descrifrar las contraseñas mediante la búsqueda reversa, pero aumenta mucho los tiempos de generación).

    Sobre la colisión. La colisión se produce cuando el algoritmo genera el mismo patrón para 2 contraseñas diferentes. Imagínate que al poner "1234" y "4321" generase "yduj3gh==". En este caso hay un problema y es que hay 2 contraseñas diferentes válidas. ¿Problemas de esto? Generalmente, cuando se descuben problemas de este tipo se suelen cambiar los algoritmos. Los principales problemas es la existencia de 2 contraseñas válidas cuando sólo debería haber uno y que si se hacen ataques de fuerza bruta, obtendremos que hay 2 o más contraseñas posibles, lo cual apenas afecta ya que sólo habrá que probar todas ellas para saber cual es la real.

    Este es un resumen sencillo del funcionamiento de las contraseñas y no tiene intención de ser una lección técnica ni correcto.
     
    • Me encanta Me encanta x 8
    • De acuerdo De acuerdo x 3
    • Me gusta Me gusta x 1
    • Divertido Divertido x 1
    • List
XenPorta 2 PRO