No es MD5, leí por ahí que es SHA-1. Es algo más seguro pero el problema es que no usaran 'salted hashes' (no hacer un hash de la contraseña sino de la contraseña más alguna cadena extra)
El problema es que:
- No sabemos si estos son todos los hashes que tienen
- No sabemos si solamente tienen el hash o también otros datos como la dirección de correo electrónico
- No sabemos cómo se obtuvieron
- No sabemos desde cuándo los tienen.
LinkedIn ya deshabilitó las contraseñas cuyos hashes estuviesen en esa lista. Yo le diría a cualquiera que reutilice su contraseña de Linkedin en algún otro servicio, que la cambie más rápido que ligero.
Con respecto a las contraseñas, sí
tenemos algo mejor, pero es más caro y no vale la pena en general, dependiendo de lo que se quiera proteger. Con certificados digitales y firmas digitales podríamos estar un poco mejor, pero también tienen sus problemas asociados.
Viene muy a cuento cierto cómic de XKCD
No creo que tengamos que reemplazar las contraseñas, pero sí creo que:
- Tiene que acabarse de una vez la práctica de guardar contraseñas en texto plano (cierto banco uruguayo aún lo hace, y la prueba está en que cuando cambiaron de sistema truncaron a 8 caracteres toda contraseña más larga)
- Hay que dejar de restringir los caracteres posibles y el largo de las contraseñas. Es muy muy estúpido seguir requiriendo límites (y peligroso que el límite máximo sea 8)
- Las contraseñas deben almacenarse en forma de salted hash
- Hay que enseñar a que las contraseñas deben ser largas, frases, no 8 @c4r4ct4r35
- Hay que enseñar a utilizar gestores de contraseñas, y popularizar sistemas de single sign-on y contraseñas maestras, para que la gente no tenga que recordar decenas de contraseñas y cambiarlas cada mes (lo que inevitablemente lleva a contraseñas tipo @Junio2012). Sistemas como el de Imprivata:
http://www.imprivata.com/products-an...single-sign-on
Algún día aprenderemos ;)
