¿Cómo se forzaron las contraseñas débiles en github?

10

Github se enfrentó a un ataque de adivinación de contraseñas de fuerza bruta recientemente que involucró "casi 40K de IP única direcciones ".

Las contraseñas también se "almacenaron correctamente" utilizando bcrypt, (salt + hashed).

Dado que bcrypt genera un salt aleatorio por contraseña y que la base de datos Github no se vio comprometida, ¿cómo fue posible un ataque "remoto" de fuerza bruta y cuánto tiempo duró ese proceso?

  

"Estas direcciones se usaron para forzar lentamente contraseñas débiles o contraseñas usadas en múltiples sitios".

    
pregunta qnoid 21.11.2013 - 11:19
fuente

2 respuestas

9

Si eres forzoso basado en caracteres, entonces tendrías aproximadamente 219 billones de estimaciones necesarias si solo estuvieras usando letras y números para contraseñas de 8 caracteres de longitud. Eso es mucho.

Con contraseñas débiles, las personas a menudo se refieren a contraseñas de uso común como "azerty123", "a1234567", ... o palabras en un diccionario. Si está utilizando un diccionario, puede reducir la cantidad de contraseñas posibles a quizás 1 millón, lo que significa que todo lo que necesita es 1 millón de conjeturas.

El mayor problema es que las personas tienden a reutilizar las contraseñas en los sitios web, por lo que cuando Adobe fue hackeado, su base de datos se filtró. Debido a su mala forma de cifrar (no hash) las contraseñas, los atacantes podrían generar una lista de contraseñas de uso común. Por ejemplo, podrían haber usado la dirección de correo electrónico asociada para intentar iniciar sesión en Github con la misma contraseña (porque, como se dijo, la gente suele usar la misma contraseña en todas partes).

    
respondido por el Lucas Kauffman 21.11.2013 - 11:33
fuente
10
  

Dado que bcrypt genera un salt aleatorio por contraseña y que la base de datos Github no se vio comprometida, ¿cómo fue posible un ataque "remoto" de fuerza bruta y cuánto tiempo duró ese proceso?

Aquí se confunden dos ataques diferentes. Brute forzando los hashes de contraseñas significa que el atacante tiene un registro de la tabla de la base de datos que contiene los hashes de contraseñas y, si están correctamente salados y con hash, la fuerza bruta requiere mucho tiempo.

En este caso, github fue atacado al adivinar las contraseñas en la página de inicio de sesión, por lo que no importa cómo se saquen las contraseñas o las hash o nada. Solo importa si el usuario en cuestión usó una contraseña fácil. Github dice "nosotros, de manera agresiva, los intentos de inicio de sesión con límite", lo que significa que bloquea una cuenta después de que x intenta durante un período de tiempo determinado. El atacante tenía recursos (40,000 direcciones IP únicas para adivinar), muchas cuentas para elegir y un largo período de tiempo para que pudieran seguir adivinando y esperando que el bloqueo expirara. Incluso con todos esos recursos, su bot no puede adivinar lo suficientemente rápido como para irrumpir en cuentas con nada más que contraseñas simples y muertas.

Es realmente genial que github publique un historial de seguridad en enlace para que su cuenta vea la actividad de la cuenta (inicios de sesión fallidos, inicios de sesión, etc.)

    
respondido por el mcgyver5 21.11.2013 - 16:50
fuente

Lea otras preguntas en las etiquetas