Estoy en un hotel que tiene una red pública. Tengo una máquina Windows con una conexión por cable a ella. "Network and Sharing" tiene el descubrimiento de la red activado. No se comparten carpetas excepto "Usuarios", que se comparte de forma predeterminada. ¿Es posible que alguien en la misma red obtenga la contraseña de una cuenta de administrador en una máquina con Windows o Linux a través de un ataque de fuerza bruta? Supongamos que todas las contraseñas de los usuarios son fuertes.
Si asume que todas las contraseñas en el sistema son seguras, entonces no.
La definición de una contraseña "segura" es que el tiempo para completar un ataque de adivinanzas, ya sea fuerza bruta o con una lista de "contraseñas comunes" es largo con respecto a la exposición.
A menos que viva en el hotel, se irá (y la exposición terminará) antes de que un atacante pudiera haber adquirido su contraseña a través de un ataque de fuerza bruta. ( Um, a menos que el atacante tenga acceso físico a la máquina, lo cual no formaba parte de la pregunta). Por otra parte, si su contraseña está descifrada por fuerza bruta, no fue "fuerte". . " Hay una cantidad desagradable de razonamiento circular allí. Déjame ver si puedo deshacerme de algo.
La fuerza de una contraseña se mide en bits de entropía o aleatoriedad. Si su contraseña está en la lista de las 500 contraseñas más comunes, tiene aproximadamente 9 bits de entropía porque el registro 2 (500) es aproximadamente 9. Ponga otra manera, 2 9 = 512. Si usa una contraseña que es cinco Dicewords , tendrá aproximadamente 55 bits de entropía porque cada palabra se extrae de una lista de aproximadamente 2,000 palabras y el registro 2 (2000) es aproximadamente 11. (2 11 es 2048.) Obtiene once bits de entropía para cada uno de las cinco palabras, un total de 55 bits de entropía.
Si uno puede hacer G adivinanzas por segundo contra una contraseña con n bits de entropía, entonces el tiempo promedio para adivinar es 2 n- 1 / G porque, en promedio, el atacante "golpeará" aproximadamente a la mitad de los valores posibles.
Por lo tanto, un ejemplo: una contraseña con 28 bits de entropía y un atacante puede hacer 2 10 conjeturas por segundo, suponiendo un ataque en línea. (Los ataques sin conexión pueden ser mucho más rápidos.) Eso tomará aproximadamente 2 27 conjeturas, o 2 27-10 segundos, o aproximadamente un día y medio. Si tiene 55 bits de entropía en la contraseña, eso es 2 44 segundos, o aproximadamente 557,000 años.
Ahora tiene una definición bastante rigurosa de "fortaleza" y puede determinar qué tan fuerte debe ser su contraseña para resistir un ataque sostenido durante una estadía en un hotel de tres días. (Sin embargo, hay una suposición bastante grande acerca de G ).
Editar: esta respuesta aborda un ataque de fuerza bruta en la interfaz de inicio de sesión del sistema operativo, que es, creo, la pregunta. Hay muchos otros tipos de ataques.
Lea otras preguntas en las etiquetas authentication brute-force network