¿Se infringen más contraseñas a través de ataques de bf / dictionary o de sniffers de paquetes / registradores de claves?

Navega tus respuestas
5

Esta pregunta siempre me ha intrigado cuando se menciona el tema de las contraseñas. ¿Alguien tiene experiencia directa o una fuente confiable para responder qué porcentaje de violaciones de contraseñas se ejecutan a través de descifrado (diccionario, fuerza bruta o varios métodos híbridos) frente a algún tipo de sistema keylogger o detector de paquetes?

En otras palabras, ¿debería preocuparse más por la entropía de su contraseña o la ruta de acceso de la contraseña desde su cerebro al servidor de autenticación? Obviamente, ambos. Pero en el clima de seguridad de hoy, ¿cuál es el eslabón más débil? Esta proporción probablemente difiere entre las contraseñas de escritorio, las contraseñas ssh / server y varias contraseñas de servicio en línea, pero como uso las tres a diario, estoy interesado en todas.

Me imagino que las contraseñas malas se piratearán rápidamente y con frecuencia, mientras que incluso las moderadamente buenas durarán hasta que aparezca otra grieta en la armadura. Pero, ¿alguien tiene fuentes confiables sobre qué tipo de razones estamos hablando aquí?

    
pregunta mmdanziger 27.04.2012 - 14:32
fuente

2 respuestas

3

La respuesta probable es que ninguno de los escenarios es el más común, si medimos el grado de coincidencia por el número de usuarios afectados. El problema reportado con demasiada frecuencia es que alguien obtiene acceso a una máquina que tiene la lista de usuarios / contraseñas en texto sin cifrar (o un cifrado tan trivial como texto sin formato), que infringe las cuentas de miles de usuarios de un solo golpe. Esto es lo que sucedió con Sony, Gawker y Twitter, por ejemplo.

    
respondido por el Don Simon 11.05.2012 - 22:42
fuente
1

Sería extremadamente difícil responder a esa pregunta con cualquier autoridad sin establecer límites. Puede ver los informes de seguridad de los proveedores (por ejemplo, RSA, FireEye, Symantec, Verizon, Websense, Mandiant, Trustwave, Microsoft, etc.) para revisar su metodología de muestreo, tamaño de muestra y conclusión para tener una idea del pulso general de la industria con respecto a este tema. No recomendaría confiar en ningún informe de un solo proveedor debido a los límites estrictos que coloca cada proveedor.

Dicho esto, hay herramientas como sslstrip que hacen que sea realmente fácil para un adversario con conectividad de red ubicarse lógicamente en línea con el tráfico. sslstrip es lo suficientemente inteligente como para inutilizar https (haga una búsqueda de "sslstrip" en security.stackexchange para otra publicación, re: internals).

Considere puntos de acceso wifi abiertos en cafeterías, aeropuertos, ciudades, etc. Es realmente fácil para cualquier persona configurar un AP malicioso y credenciales "sniff". Mucho más fácil que obtener un archivo de contraseña con hash y ejecutar ataques de diccionario contra la lista de contraseñas con hash.

Al mismo tiempo, considere en qué medida se ha extendido el malware. Los informes de proveedores anteriores a menudo concluyen que el malware se está haciendo más avanzado a medida que se organizan los "malos". Los malos también están en su negocio para ganar dinero, así que harán las inversiones necesarias para obtener un buen reembolso. Por lo tanto, el malware se está haciendo avanzado y, una vez infectados, los malos pueden rastrear el tráfico, redirigir el tráfico, robar contraseñas o incluso abrir la bandeja de CD (buen respaldo de los CDC a finales de los 90).

Otra forma de ver el panorama de amenazas es siguiendo la información monetizable. Números CC, SSN, etc. La contraseña se convierte en el guardián para que los malos accedan al dinero. Si se puede omitir la autenticación de contraseña, los malos no se molestarán en lanzar ataques de dictionary / bf / keylogger porque no hay razón para hacerlo. Así que la pregunta realmente se convierte en cómo los malos acceden a datos que pueden convertirse en dinero. La respuesta a "cómo" se convierte en la forma más fácil posible. Incluso con la adopción generalizada de EMV en los EE. UU. O en métodos criptográficos más grandes y fuertes, los malos encontrarán la forma más fácil para ganar dinero (cómo obtener el mejor retorno de su inversión).

    
respondido por el bangdang 27.04.2012 - 19:05
fuente

Lea otras preguntas en las etiquetas

¿Cuáles son las ventajas y desventajas de las identificaciones “inteligentes” todo en uno frente a usar un autenticador de hardware separado? Vulnerabilidad de PHP puede detener millones de servidores - max_input_vars!