Pregunta sobre Wordfence Security de Wordpress:

Está acostumbrado a filtrar listas de contraseñas en violaciones de datos

Un usuario preguntó 👇

Hola.

Así que recibí este mensaje después de iniciar sesión en mi sitio web: lo está utilizando para filtrar listas de contraseñas en violaciones de datos.

¿Qué lista es esa? Mi contraseña no está en el popular archivo rockyou.txt. Hablo muy en serio sobre este asunto. Si realmente existe en una lista de contraseñas filtradas, quiero saber cómo lo sabe. ¿Con qué lista lo comparas?

Gracias por adelantado.

(@wfdave)

Hace 2 años, 2 meses

Hola @boutzamat,

WordFence usa HIBPv2 ( https://haveibeenpwned.com/API/v2 ) para comprobar si se filtra su contraseña.

Tiene dos formas de comprobar si se ha filtrado su contraseña.

1. Escriba su contraseña en este sitio web para verificar: https://haveibeenpwned.com/Passwords
2. O puede verificar sin ingresar su contraseña:

a. Configure SHA-1 como contraseña, usando http://onlinemd5.com/ (desplácese hacia abajo, seleccione SHA-1) b. Ir http://noc1.wordfence.com/passwords/*****.txt (reemplace ***** con los primeros 5 caracteres de su hash SHA-1) c. Busque los caracteres restantes en su hash SHA-1 para ver si se ha filtrado

Entonces, por ejemplo, déjame tener mi contraseña password.

a. Descubrí que el SHA-1 es para contraseña 5BAA61E4C9B93F3F0682250B6CF8331B7EE68FD8
segundo. Los primeros cinco son personajes 5BAA6 (debe ser superior), así que iré a http://noc1.wordfence.com/passwords/5BAA6.txt
C. Los personajes restantes después 5BAA6 es 1E4C9B93F3F0682250B6CF8331B7EE68FD8

puedo venir 1E4C9B93F3F0682250B6CF8331B7EE68FD8 dentro del archivo de texto, para que pueda concluir que mi contraseña se filtró.

Estos son algunos recursos que WordFence protege contra la filtración de contraseñas.

https://www.wordfence.com/blog/2017/12/password-auditing-feature-update/
https://www.wordfence.com/blog/2018/03/password-leak-attacks-wordpress/

Dave

(@boutzamat)

Hace 2 años, 2 meses

Yo @wfdave, gracias por esta respuesta tan detallada y útil. muy agradecida.

Me las arreglé para seguir sus instrucciones y SHA-1 codificó mi contraseña, busqué la contraseña en la lista ***** txt (las primeras 5 letras de mi hash), no se encontró, gracias a Dios.

Pero Wordfence dijo que mi contraseña está en esa lista. Esto no lo entiendo. Nunca me habían dibujado antes, así que estoy seguro de que mi contraseña no está en esa lista, pero la alarma de WF me molestó.

(@wfdave)

Hace 2 años, 2 meses

Recomiendo encarecidamente cambiar su contraseña (y cualquier otro sitio web que comparta esta contraseña).

No es necesario hackear su cuenta para filtrar sus contraseñas. Supongamos que utilizo la misma contraseña para Google y Hotmail. Si se viola toda la base de datos de Hotmail, los atacantes también tendrán acceso a mi cuenta de Google.

Cuando busque su contraseña dentro *****.txt, ¿buscaste los personajes restantes? Por ejemplo, si su hash 5BAA61E4C9B93F3F0682250B6CF8331B7EE68FD8, deberías buscar 1E4C9B93F3F0682250B6CF8331B7EE68FD8 no el hash completo.

Dave

(@boutzamat)

Hace 2 años, 2 meses

Hola Dave.

Lo considero.

Sí, no lo sé. Lo que me dicen es que nunca me dibujaron. Entonces, si tienen el hachís, probablemente no lo quiera. Y como fui muy creativo con mi contraseña, no creo que la hayan obtenido de nadie más. Por eso creo que WF probablemente se equivocó al decir que mi contraseña estaba en la lista de filtraciones.

Gracias por las sugerencias. Tengo algunos conocimientos sobre hackearme. Lo que me sorprendió fue la lista que usó WF para comparar mi hash, para poder verificarlo yo mismo y no lo encontré en la lista.

Busqué todo el hash, no solo la primera parte.

Gracias por tu tiempo.

(@wfdave)

Hace 2 años, 2 meses

I searched for the whole hash

Lo siento, busque el resto del hash en el archivo de texto.

Si tu hash 5BAA6 1E4C9B93F3F0682250B6CF8331B7EE68FD8, necesitas buscar 1E4C9B93F3F0682250B6CF8331B7EE68FD8. No encontrará los primeros 5 caracteres en el archivo de texto, simplemente busque los otros 35 caracteres del hash.

So if they do have the hash, it’s probably not from me.

¡Tienes razón! Lo robaron de la base de datos de un sitio web y no de usted. El usuario no tiene la culpa. La culpa es del sitio web pirateado.

(@boutzamat)

Hace 2 años, 2 meses

Hola Dave,

Intenté buscar los últimos 10 caracteres de MD5, SHA-1, SHA-256 en 3 listas separadas y, gracias a Dios, mi hash no está en la lista.

(@wfdave)

Hace 2 años, 2 meses

¡Bueno oír eso! Lamento preocuparme por ti.

Me han dicho que esta advertencia puede haber aparecido en versiones anteriores de Wordfence.

La lista anterior (Have I pwned) es la única lista que usa Wordfence actualmente.

Creo que si actualiza Wordfence o lo vuelve a instalar, no verá esa advertencia de que su contraseña está en una lista de fugas.

¿Solucionó tu problema??

0 / 0

Deja una respuesta 0

Tu dirección de correo electrónico no será publicada.