¿En qué situaciones puede un hacker intentar romper contraseñas millones de veces? [duplicar]

Navega tus respuestas
1

Sigo leyendo sobre situaciones en las que un pirata informático podría "fácilmente" forzar una contraseña (ejemplo más reciente ) pero estoy confundido acerca de cuándo algunos tienen la oportunidad de hacer este tipo de cosas. Si se trata de un sitio web / servicio web, ¿no están limitados los intentos como este? Es decir. No puedo probar mi contraseña de Amazon 50 millones de veces por segundo, incluso si mi conexión a Internet fuera más increíble de lo que es.

¿Qué debe suceder para que alguien tenga la oportunidad de forzar la entrada a un sistema? Y si los sistemas pueden frenar eficazmente los intentos de decenas o menos por minuto, ¿por qué hay tanto énfasis en decir que los ataques de GPU pueden generar millones o miles de millones de contraseñas por segundo si son inútiles?

    
pregunta Brad 23.06.2014 - 21:16
fuente

2 respuestas

5

La fuerza bruta masiva generalmente se realiza después de que los atacantes de alguna manera han confiscado una lista de contraseñas con hash. Esto puede suceder en varias situaciones; el ser más común:

  • Un ataque de inyección SQL que permite a los atacantes empujar algunas expresiones SQL más o menos restringidas para que sean evaluadas por la base de datos de destino. Dependiendo de la estructura del sitio y las restricciones locales para el ataque, los atacantes podrían no ser capaces de hacer lo que desean con la base de datos, pero aún así podrían volcar algunas partes de la misma.

  • Los datos se extraen de un medio descartado, p. ej. un disco duro viejo; posiblemente un disco duro roto electrónicamente, que el atacante recupera de un contenedor de basura y repara.

  • La falta de delicadeza de un empleado o pasante, que agarra sigilosamente una copia de la base de datos y la almacena en una unidad flash USB.

La tendencia común aquí es que las contraseñas de cracking se utilizan para extender un ataque:

  • El atacante obtuvo un vistazo de solo lectura de la base de datos, y desea escalar eso al acceso de lectura-escritura.
  • La infracción original es riesgosa (por ejemplo, el atacante tenía que estar físicamente en las instalaciones) y desea volver al servidor, pero desde la red y sin incurrir en el riesgo de un encuentro con guardias de seguridad.
  • El atacante desea obtener la contraseña de un servidor porque sabe que la mayoría de los usuarios reutilizarán la misma contraseña en muchos otros servidores.

El tercer punto es probablemente la motivación más común para los atacantes.

    
respondido por el Tom Leek 23.06.2014 - 21:36
fuente
1

Cuando piratean un sitio web y 'volcan datos' una tabla de contraseñas ahora tienen acceso a todas las contraseñas con hash.

Esto da la oportunidad de un ataque de fuerza bruta.

    
respondido por el Andrew Hoffman 23.06.2014 - 21:23
fuente

Lea otras preguntas en las etiquetas

¿Cómo ejecutar un ataque XSS contra un sitio que usa protección del lado del cliente? XSS con entrada en el atributo onclick