¿Cómo pueden los piratas informáticos adivinar las contraseñas (usando el ataque de diccionario o la fuerza bruta) sin ser bloqueados?

8

Hoy en día, casi todos los sitios web en los que desea registrarse; le está pidiendo que cree una contraseña complicada ... Pero ¿por qué no podemos usar contraseñas simples?

Me pregunto porque en caso de varios intentos de contraseña incorrecta; muchos sitios web y dispositivos hoy en día utilizan un sistema de bloqueo que lo bloquea permanentemente hasta que se siguen las opciones de recuperación O lo bloquea por un período específico de tiempo ... Además, algunos sitios web utilizan captcha para asegurarse de que haya un ser humano en el otro lado y no solo una herramienta o script ...

Si alguien puede dar detalles sobre esto, por favor ... ¿cómo es práctico (o incluso posible) que los piratas informáticos adivinen una contraseña con estas medidas de seguridad vigentes? Lo sé Sucede porque me pasó a mí. Tenía una cuenta de correo electrónico de Yahoo con una contraseña de 6 caracteres (letras y números, pero no caracteres especiales o mayúsculas) y un pirata informático logró acceder a ella y comenzó a enviar correos no deseados a mis contactos de la libreta de direcciones. Y estoy seguro de que mi contraseña no se capturó a través de phishing, ingeniería social o keylogger.

No estoy buscando las herramientas o los scripts exactos, solo estoy buscando cuál es la idea detrás de una suposición de contraseña exitosa a pesar de las medidas de seguridad implementadas que no entretienen a las adivinanzas. Entonces, por ejemplo , incluso si mi contraseña era solo letras y solo seis caracteres, ¿cómo puede alguien adivinar mi contraseña gmail ?

    
pregunta Identicon 19.09.2014 - 22:31
fuente

4 respuestas

6

El bloqueo de la cuenta es una medida efectiva de limitación de la tasa contra los inicios de sesión forzados brutos cuando el atacante está apuntando a una cuenta en particular. No es efectivo contra un ataque masivo en muchas cuentas. Uno podría, por ejemplo, probar todos los nombres de usuario posibles mientras intenta la misma contraseña común para todos, y recuperar parte de las cuentas.

Incluso CAPTCHA es solo una característica limitante de la velocidad frente al agrietamiento y los agricultores CAPTCHA.

  

Sé que sucede porque me pasó a mí.

No es seguro que haya ocurrido debido a la fuerza bruta contra la interfaz de inicio de sesión. Aparte de los ataques de phishing y troyanos mencionados, además de otras posibles vulnerabilidades web como XSRF, la base de datos de Yahoo definitivamente se ha visto comprometida en el pasado (probablemente hashes de fugas que probablemente sean reversibles para contraseñas comunes y cortas); Además, si usó la contraseña en otro lugar, el otro sitio podría haber sido comprometido. Yahoo ha tenido históricamente una reputación particularmente mala para los compromisos de cuenta, que probablemente sea una mezcla de todas estas cosas.

    
respondido por el bobince 19.09.2014 - 23:00
fuente
1

En este caso, tendrían que conseguir de alguna manera el hash de tu contraseña. Ejecute una herramienta contra ella, que compararía posibles hashes resultantes con su hash real. Si el hash coincide, entonces saben qué contraseña se tomó para generar ese hash. Ahora solo se necesita un intento para iniciar sesión en su cuenta de Yahoo.

    
respondido por el RoraΖ 19.09.2014 - 22:37
fuente
1

Tener un mecanismo de bloqueo o CAPTCHA evita que el atacante en línea realice la búsqueda de fuerza bruta. Si el tiempo de bloqueo es de 10 minutos, para forzar bruscamente un diccionario de 1 millón de palabras (2 ^ 20), el atacante requiere 6944 días o casi 20 años. El cálculo se muestra a continuación:

i. Con 10 min de tiempo de bloqueo, el atacante puede probar 6 palabras / hora del diccionario. ii. En un día 24 * 6 = 144 palabras. iii. Número de días requeridos para agotar el diccionario = 2 ^ 20/144 = 6944 días.

Por lo tanto, si configura su contraseña desde el diccionario, dentro de 20 años utilizando el ataque en línea, su contraseña definitivamente se rompe. En promedio, tomará 10 años para hacerlo.

Sin embargo, la mayor amenaza proviene del ataque sin conexión. Si el atacante tiene el hash de la contraseña del diccionario, puede romperla en un segundo.

    
respondido por el Curious 22.09.2014 - 06:58
fuente
1

La mayoría de los ataques de fuerza bruta hoy en día usan listas combinadas en lugar de una contraseña o un ataque de diccionario. Una lista combinada es un nombre de usuario y su contraseña en este formato nombre de usuario: contraseña. Los obtienen a través de la piratería de bases de datos con inyección SQL, páginas de phishing, registradores clave e incluso utilizando Google Dorks para encontrar volcados de sitios web en la red.

Tome el escenario que acaba de registrarse en un sitio web o foro, y este sitio web mantiene su nombre de usuario y contraseña de inicio de sesión en su base de datos que es vulnerable a la inyección SQL. Un hacker piratea la base de datos y extrae todos los nombres de usuario y contraseñas. La mayoría de la gente usa el mismo nombre de usuario y contraseña para todo, por lo que al ejecutar esta lista combinada de nombres de usuario y contraseñas en sitios web diferentes, por lo general, siempre obtiene algunas visitas. Otra forma es robando listas de miembros del foro. Al hacer esto, ya tiene los nombres de usuario de inicio de sesión en la mayoría de los casos. Uno de los errores más comunes que cometen las personas es tener su contraseña igual que su nombre de usuario, o tener 123456 o incluso la palabra contraseña como su contraseña. Entonces, lo que haces es crear una lista donde todos los nombres de usuario tengan la misma contraseña. Siempre obtienes a alguien que ha usado 123456, la contraseña o su nombre de usuario como contraseña.

    
respondido por el Anonymous User 08.10.2014 - 12:39
fuente

Lea otras preguntas en las etiquetas