¿Se conocen estadísticas de contraseñas utilizadas durante los ataques de contraseñas de fuerza bruta?

Navega tus respuestas
3

He estado leyendo bastante acerca de los ataques de fuerza bruta y me pregunto si las contraseñas que se usan en dichos ataques deben mantenerse para evitar que mis usuarios tengan esas contraseñas, ya que esos sistemas de fuerza bruta verificados con Esas contraseñas, me imagino que podrían volver a intentarlo con el mismo conjunto de contraseñas en comparación con otras cuentas y, por lo tanto, no tener esas contraseñas utilizadas en mi sistema probablemente sea una buena idea ...

Por supuesto, con el tiempo podría terminar en una lista negra de un gran número de contraseñas realmente buenas. Así que mi pregunta sobre la verificación de contraseñas de fuerza bruta a través de Internet sería:

¿Alguien ha hecho alguna recopilación de las contraseñas utilizadas por tales intentos de fuerza bruta? Y si existen tales colecciones, ¿cuáles son las estadísticas sobre la reutilización / nueva prueba de un determinado conjunto de contraseñas? (es decir, ¿esos robots siempre reutilizan el mismo conjunto de contraseñas? ¿Se están comprobando siempre con contraseñas completamente diferentes?)

    
pregunta Alexis Wilke 13.01.2016 - 08:59
fuente

2 respuestas

1

Según tengo entendido, los ataques de fuerza bruta vienen en algunos sabores:

  • Fuerza bruta verdadera, comenzando en A, moviéndose a B, y así sucesivamente hasta que recibas un golpe.
  • Ataques de diccionario, trabajando con todas las palabras conocidas.
  • Ataques dirigidos, trabajando desde su propia lista de contraseñas (hecha de contraseñas filtradas y transformaciones en ellas).
  • Ataques dirigidos que utilizan la información personal del objetivo.
  • Una combinación de lo anterior.

1 y 2 contra los que puedes defenderte, pero no hay listas específicas. Mantén a las personas alejadas de palabras completas, aumenta la complejidad y puedes hacer algo.

Para 3, tiene una lista de contraseñas, prohibir todas las entradas en la lista puede no ser la mejor opción, pero puede tomar a los delincuentes más frecuentes.

Para 4, no hay una solución programática fácil. Es un problema de personas, no uno técnico.

    
respondido por el Jozef Woods 13.01.2016 - 11:00
fuente
0

Hay muchas listas excelentes disponibles. Haga una búsqueda en Google de 'seclists', también eche un vistazo a este github para ver algunos de los recientes enlace Nmap viene con una buena lista de contraseñas que se actualiza constantemente, pero no es tan completa. Otra excelente fuente es el feed de Twitter 'dumpmon' y, volviendo a lo básico, si está en Linux, ejecute 'localizar diccionario' para ver los diccionarios disponibles en su sistema.

    
respondido por el mk444 13.01.2016 - 11:28
fuente

Lea otras preguntas en las etiquetas

¿Por qué la validación de un certificado SSL contra una CRL no es ineficiente? ¿Hay alguna forma de descubrir por qué Windows Smartscreen marca su descarga?