¿Longitud de contraseña conocida, carácter de fuerza bruta en su lugar?

Navega tus respuestas
1

Todos sabemos que la fuerza bruta es un proceso muy lento y probar todas las posibilidades innecesarias es tonto. Al conocer la longitud de la contraseña, podemos omitir las posibilidades de prueba de otras longitudes de contraseña y nos ahorra enormes cantidades de tiempo. Sin embargo, este cambio es insignificante para contraseñas muy largas. Así que me preguntaba si podríamos atacar a todos los personajes en su lugar. Sería como romper una combinación para una cerradura mecánica. Probamos todos los caracteres en su lugar hasta que "encajen" en su lugar, luego pasamos al siguiente carácter, y así sucesivamente.

    
pregunta Mywiki Witwiki 12.10.2012 - 01:37
fuente

2 respuestas

7

Si tiene un mecanismo de verificación de contraseña que le permite saber, de cualquier manera, si una letra dada es correcta o no, independientemente de las demás, entonces tiene un mecanismo de verificación de contraseña muy débil y estúpidamente diseñado . Eso es lo que sucede cuando dejas que los guionistas de Hollywood traten con la realidad.

Este juego de mesa es una ilustración de lo malo que es: si una letra "encaja en su lugar ", como lo pusiste, entonces tu contraseña puede ser golpeada por un niño de 8 años desde principios de los 70 (y sin ninguna computadora). Espero firmemente que la seguridad de la pantalla de inicio de sesión haya aumentado un poco más allá del nivel de seguridad de Disco Kid.

    
respondido por el Thomas Pornin 12.10.2012 - 03:16
fuente
2

Podrías si la verificación de la contraseña se hace muy mal. Es decir, si el verificador de contraseña hace todo lo siguiente:

  1. El verificador de contraseñas almacena las contraseñas en forma clara (y no hash como deben ser)
  2. El verificador de contraseña compara la conjetura y la contraseña directamente (y no es un hash de la conjetura y la contraseña)
  3. El verificador de contraseñas se comporta de manera diferente dependiendo de cuál carácter en el que falla la verificación de contraseña
  4. El verificador de contraseña no limita el número de intentos incorrectos

La primera condición es la más importante. Si el implementador de un verificador de contraseñas almacena contraseñas claras, es poco probable que se hayan tomado la molestia de implementar un algoritmo de comparación de contraseñas seguro.

Es triste decirlo, pero hay una cantidad sorprendentemente grande de sitios de Internet que almacenan las contraseñas de forma clara. PlainTextOffenders.com es un blog (Tumblr) dedicado a "publicar" dichos sitios y contiene muchos cientos de dichos sitios.

Si un servicio almacena las contraseñas sin cifrar, es probable que sea susceptible a una forma de ataque de canal lateral denominado "sincronización ataque ". Si el verificador de contraseñas comprueba un carácter a la vez y devuelve un mensaje de error de contraseña cuando encuentra el primer carácter no coincidente, entonces puede adivinar un carácter a la vez (a partir del primero) y en función de la sincronización del mensaje de error. cada personaje. Debido al ruido inherente de la sincronización de la comunicación por Internet, tendría que probar cada posibilidad más de una vez, pero aún así sería sustancialmente más rápido que un simple ataque de fuerza bruta.

    
respondido por el David Wachtfogel 12.10.2012 - 05:27
fuente

Lea otras preguntas en las etiquetas

Aplicabilidad de la vulnerabilidad de Java Referencias a problemas relacionados con la colocación de fondos en OpenSDD (como OpenBSD) por el FBI o la CIA [cerrado]