Steam sabe tus contraseñas?

Archivado
Estaba ayudando a mi compa de piso a abrirse una cuenta de steam para pegarnos unos vicios, a lo que mete una contraseña y steam le dice que ponga otra que no use con tanta frecuencia.

Y bueno nos hemos quedado a cuadros, como carajo se supone que Steam sabe tus contraseñas?
Tienen un listado de contraseñas frecuentes, tipo qwerty123 etc
entiendo, gracias por la info :/
También puede ser que estén usando la API de haveIbeenPowened (o alguna otra), hagan una petición y vean que el password que vas a utilizar se utiliza con mucha frecuencia y que no es seguro utilizarlo.

Ejemplo, password ahí todo molón en leet:
passw0rd

Hash SHA-1 del password
7c6a61c68ef8b9b6b061b28c348bc1ed7921cb53

Haces una petición a la API:
​https://api.pwnedpasswords.com/range/{7c6a6}

Acotas con la respuesta y....:
1C68EF8B9B6B061B28C348BC1ED7921CB53:227934

Ese password ha sido encontrado en los leaks:
227934 veces

Da por seguro que está en un diccionario para ataque por fuerza bruta y va ser usado contra las cuentas, y si encima hay una asociación, en los leaks, entre tu correo/nombre de usuario de Steam y el password... 1+1=estoy dentro.
Las contraseñas en este tipo de servicios se almacenanen BD, pero se almacenan "hasheadas". Esto permite "anonimizar" las contraseñas a la vez que si se guarda el histórico se puede validar que ya haya sido utilizada.

Saludos.
4 respuestas
Archivado
Volver a General