Tras la debacle de la filtración de datos de LinkedIn que salió a la luz la semana pasada, el equipo de Protección de Identidad de Microsoft ha decidido prohibir el uso de contraseñas comunes o simples que podrían ser fáciles de adivinar o que han aparecido en las listas filtradas. “Lo más importante que se debe tener en mente cuando se elige una contraseña es elegir uno que sea único, y por tanto difícil de adivinar”, dice Alex Weinert, el Director del Programa Azure AD del equipo de Protección de Identidad. “Te ayudamos a hacerlo en Microsoft Account y en Azure AD system mediante la prohibición dinámica de las contraseñas usadas comúnmente.”
Weinert hace notar que Microsoft funciona de manera similar para poner trabas a los hackers. Cuando los detalles sobre filtraciones de datos se hacen públicos, y los datos de los incidentes encuentran su camino hasta Internet, los empleados de la compañía los buscan activamente y los añaden a su base de datos. Estos datos son procesados y añadidos a una lista de contraseñas prohibidas que se actualiza dinámicamente, que la compañía utiliza para evitar que los usuarios elijan contraseñas comunes que se encuentran en muchas filtraciones de datos.
Microsoft también usa datos de las intrusiones en su servicio
Además, la compañía también usa las contraseñas comunes que ve en sus servidores y que se emplean en intrusiones por la fuerza. A principios de mes, Microsoft reveló que había sufrido casi diez millones de ciberataques por día en sus sistemas de identificación Microsoft Account y Azure AD. Estos ataques ofrecen a la compañía un enorme ejemplo para hacerse una idea de los usuarios más utilizados en las intrusiones de adivinación de contraseña.
Microsoft Account, anteriormente conocido como Windows Live ID, es un sistema de identificación basado en nombre de usuario y contraseña utilizado por usuarios normales de Microsoft que usan servicios como Bing, Outlook.com, OneDrive, Windows Phone, Skype, Xbox LIVE, Windows 8.1, Windows 10 y muchos otros. Por otro lado, Azure Active Directory (AAD) es un servicio de identificación para manejar los logins de usuario en entidades corporativas.
Las filtraciones masivas de LinkedIn han hecho cambiar la política de Microsoft
Las filtraciones de datos realizadas y desveladas por hackers, que a menudo contienen informaciones sobre contraseñas, ya sean textuales o encriptadas con algoritmos débiles como SHA1. Una de las principales filtraciones de datos que ha tenido lugar es la que afectó a LinkedIn. El incidente ocurrió en 2012, y en ese momento LinkedIn afirmó que había afectado a solo 6,5 millones de clientes. La semana pasada, un hacker apareció online vendiendo 167 millones de registros de la filtración de 2012. De ese montón, 117 millones de registros de usuario contenían contraseñas débiles, que una compañía ya ha crackeado en gran parte en menos de 24 horas después de que apareciera la noticia.
