Filtración de datos masivo y verificación de información

Después de la filtración de contraseñas, y dado que en ocasiones es un tanto difícil saber si la contraseña actual ha sido filtrada, David Tavarez ha creado una herramienta que busca las contraseñas que han sido vulneradas y almacenadas, para ello utiliza una herramienta en su repositorio, para ello primeramente debes tener configurado tor en tu equipo, ya que utiliza la red tor en Linux es tan sencillo como realizar:

apt-get install tor

Una ves instalado tor en tu equipo, clonas de git la herramienta de David Tavarez:

git clone https://github.com/davidtavarez/pwndb

Los modificadores aceptados son --target para buscar una cuenta especifica, la cual también admite modificadores como @domain, para buscar un sitio especifico, una cuenta de cualquier dominio con el modificador cuenta%. De manera que si nos arroja un resultado, por ejemplo del dominio, todas las cuentas encontradas aparecerán con contraseña, lo que ahorrará trabajo en caso de crear diccionarios.

Otra herramienta para buscar passwords que han sido comprometidos y que nos brinda detalles del sitio de la filtración es:

git clone https://github.com/thewhiteh4t/pwnedOrNot.git

Este nos brinda información del sitio de donde se ha filtrado la información, y de igual modo si nuestra contraseña esta almacenada/publicada en algún sitio. A diferencia de la otra, esta no requiere tener instalado y configurado tor. Los modificadores tambien permiten buscar una cuenta de correo o una lista de cuentas, pero a diferencia de la herramienta anterior, no permite realizar la búsqueda a partir de un dominio.

Ambas herramientas están escritas en python, por lo que pueden modificarlas para guardarlas en caso de realizar un pentest, para entregarlas en el reporte correspondiente, y ambas herramientas se complementan pues mientras en una encuentra los password, la otra te dice en que filtración han sido encontrados.

En conclusión, y con la finalidad de mantener nuestra información a salvo, es necesario verificar las cuentas y dominios, tanto si es una cuenta personal como si es alguna cuenta empresarial, últimamente y con el pasar de los años las contraseñas se han visto superadas por quienes logran entrar a distintos sitios, si a esto le sumamos la cantidad de servicios que solicitan acceso a las cuentas para diversos casos, tenemos, adicionalmente se sugiere crear una política de renovación de contraseñas al menos 2 veces al año y preferentemente contar con mecanismos como son el doble factor de autenticación.