La CSDN (Chinese Software Developers Network – Red de Desarrolladores de Software de China), operada por Bailian Midami Digital Technology Co., Ltd., es una de las más grandes redes de desarrolladores de software en China. Un archivo de texto con la información de más de 6 millones de usuarios de la red, incluyendo nombres de usuario, correos, y una buena parte de las contraseñas en texto plano, fue filtrada a Internet.
CSDN escribió una carta de disculpa a los usuarios, pidiéndoles que cambien sus contraseñas del sitio. Anteriormente a Abril del 2009 las contraseñas no eran cifradas en la base de datos. Con esto no está por demás la recomendación de siempre cifrar las contraseñas en las bases de datos. De esta manera si una base de datos es filtrada, las cuentas dentro del sitio no son expuestas (nota del autor: y justamente escribo una guía sobre el uso de cifrado y salts para proteger esto).
Del análisis de estos datos filtrados se pueden obtener interesantes datos, como las contraseñas más utilizadas, una lista de estás fue publicada en github. Además se publico una lista de los 100 proveedores de correo más utilizados por los desarrolladores Chinos.
Al ver las tres contraseñas más utilizadas y el número de usuarios que las utilizaron, podemos darnos una idea del por que tantas cuentas de usuarios son hackeadas todo el tiempo, estás son contraseñas de desarrolladores de software, gente que por lo general tiene una mejor noción de la seguridad informática y de las computadoras en general, es difícil imaginar los números de gente que no trabaja en este medio.
Las tres contraseñas más utilizadas:
‘123456789’ por 235039 usuarios.
‘12345678’ por 212761 usuarios.
‘11111111’ por 76348 usuarios.
Usuarios que utilizan alguna de estas tres contraseñas: 524,148
Porcentaje de usuarios de la red cuyas cuentas podrías ser accedidas por alguna de estas tres contraseñas: 8.7%
El punto es, no utilicen estás contraseñas si no quieren tener un alto riesgo de perder sus cuentas. Como XKCD ilustró, es mejor utilizar una frase como contraseña, si esto es permitido, que 8 letras/números/símbolos, no importa que sea una combinación de estos.
Referencias y vínculos relacionados:
Disculpa a los usuarios de CSDN (en chino)
Las 100 contraseñas mús utilizadas
Los 100 proveedores de correo más utilizados (en inglés)
Fortaleza de las contraseñas (XKCD) (en inglés)
Archivo Filtrado (vínculo de descarga, 104.8 MiB)