¿Los hackers siguen utilizando técnicas iterativas de descifrado de contraseñas?

7

¡Es Día Mundial de la Contraseña ! Regocíjate, porque hoy es el día en que todos nuestros amigos cambiarán sus contraseñas de abc123 a 123abc !!! Mientras estamos en el tema de las contraseñas, una cosa que hacen los sitios web para alentar (bueno, forzar ) a una contraseña más segura es exigir que los usuarios creen una contraseña que normalmente incluya al menos:

  • una letra minúscula,
  • una letra mayúscula,
  • un número y, a veces,
  • un símbolo (! @ # $% ^ & *)

Pero con tantos sitios web que te bloquean en el quinto intento (a veces en el tercero -_-), ¿cómo pueden los piratas informáticos descubrir tu contraseña usando el método iterativo de fuerza bruta (repasando un conjunto de los más comunes)? contraseñas, luego combinaciones de letras / números, etc)? Parece que los requisitos para hacer que la contraseña sea más compleja son inútiles, ya que un hacker rara vez obtendrá más de cinco intentos antes de ser bloqueado. Entonces, las personas que tienen el password típico para su contraseña serán fácilmente pirateadas porque es la contraseña más comúnmente utilizada , no es probable que se descubra tener una contraseña como fartbubbles . ¿O es?

Como un addendum insignificante, no estoy versado en seguridad digital en lo más mínimo, así que no dude en señalar cualquier cosa que diga que sea estúpida y corríjame. Y ríe :]

    
pregunta 8protons 06.05.2016 - 03:09
fuente

4 respuestas

10

Para responder directamente a la pregunta

  

¿Cómo pueden los piratas informáticos descubrir su contraseña usando la   fuerza bruta, método iterativo

En general, romper una contraseña usando 'prueba masiva' se hace fuera de línea. Para hacer esto, un atacante recupera una contraseña almacenada (que es generalmente hash) e intenta romper la seguridad del almacenamiento. Hay varios métodos que se pueden usar para esto, dependiendo de cómo se proteja la contraseña ( crackeo de hash , tabla Rainbow )

Para decirlo más claramente, si un atacante tiene un método para probar una contraseña sin conexión, entonces la oferta de sitios web de bloqueos no es efectiva.

Una implicación de esto, como lo señaló Trey, es que si se reutiliza una contraseña, entonces un atacante solo necesita encontrar el método de recuperación más fácil, y luego el atacante tiene acceso a cualquier lugar donde se usó la contraseña. Si un sitio almacena una contraseña en texto sin formato y luego se recupera, en cualquier lugar donde se use esa contraseña se puede considerar comprometido, independientemente de las medidas de seguridad.

    
respondido por el C_Sto 06.05.2016 - 13:05
fuente
5

Sí, los atacantes y los probadores de penetración, todavía utilizan herramientas como Hydra para realizar pruebas en masa de contraseñas. Dicho esto, es posible que esta técnica no sea rentable contra algo como un sitio bancario, pero muy a menudo los usuarios usarán exactamente el mismo par de correo electrónico y contraseña en otro sitio con mucha menos seguridad, como un blog personal, un foro de aficionados o un sitio de citas. Así que esos son los sitios donde ocurrirá más fuerza bruta.

También señalaré algo que puede no ser obvio. Esto no representa cómo se pierden la mayoría de las contraseñas a los atacantes. Los sitios pueden ser atacados a través de una gran cantidad de métodos y uno muy común en los últimos años ha sido las inyecciones de SQL. Cuando un ataque como este está disponible, puede dar a un atacante o probador de penetración acceso a la base de datos que a veces contiene todas las contraseñas de un sitio web determinado. Una copia de la base de datos puede ser arrastrada por el atacante a través de este otro agujero. Del mismo modo, no es raro que los atacantes publiquen bases de datos completas de estos nombres de usuario y contraseñas en sitios web como pastebin.com, donde otros atacantes y evaluadores de penetración pueden capturarlos y usarlos.

Esto es algo de lo que creo que la persona promedio no está muy al tanto y me gustaría que fuera más común no usar la misma contraseña en sitios como los sitios de banca como lo haría en un sitio donde la seguridad no es tan importante. .

Del mismo modo, es MUY importante proteger la contraseña de cualquier cuenta de correo electrónico utilizada para bancos u otros sitios de alta seguridad. Especialmente si no se utilizan tokens de autenticación multifactor. El acceso a una cuenta de correo electrónico se puede utilizar para hacer restablecimientos de contraseñas en una gran cantidad de sitios web y otorgar a un atacante acceso rápido a una gran cantidad de activos digitales y amp; cuentas Por lo tanto, siempre que sea posible, habilite la autenticación de múltiples factores o de dos factores, realmente hace una gran diferencia.

    
respondido por el Trey Blalock 06.05.2016 - 05:45
fuente
1

Muchos sitios cierran una dirección IP dada después de 5 intentos ...

Si un atacante tiene una red bot, tiene cientos de máquinas, cada una de ellas intenta 5 intentos. Eso da 500 conjeturas, suficientes para capturar las contraseñas realmente comunes. Esto no vale la pena para la mayoría de las cuentas, pero las cuentas de administrador y bancarias se intentan.

Un sitio web cuidadosamente configurado comenzará a solicitar captchas o autenticación de 2 factores para intentos de inicio de sesión después de los primeros cinco fallidos, incluso en diferentes direcciones IP.

    
respondido por el sdrawkcabdear 07.05.2016 - 01:10
fuente
1

Si bien es fácil bloquear una cuenta única después de unos pocos intentos de inicio de sesión incorrectos, es más difícil protegerse contra un ataque contra cada en muchos miles de Computadoras en una red de bots, tal vez utilizando proxies para enmascarar y / o cambiar direcciones IP, especialmente cuando el ataque se desaceleró intencionalmente para evitar generar sospechas.

Si bien un solo usuario puede forzar con bastante facilidad a un solo atacante a alcanzar el umbral de bloqueo de su cuenta única al elegir una contraseña poco común, un atacante que intenta solo las cinco contraseñas principales en cada cuenta es probable que obtenga acceso a una gran parte de las cuentas en el servicio.

Por lo tanto, las políticas de contraseña, como las que usted menciona, no protegen las cuentas individuales. Deben proteger la colección completa de cuentas en conjunto, intentando forzar a todos a evitar las contraseñas más comunes. Si nadie puede usar una de las cinco contraseñas principales, entonces, en teoría, los atacantes tienen una probabilidad mucho menor de tener éxito.

En realidad, los atacantes probablemente pueden predecir el puñado de modificaciones que una persona utilizará para cambiar "contraseña" y "123456" en "P @ ssword1" y "Abc123456!". Por lo tanto, es probable que algunas cuentas aún puedan verse comprometidas de esta manera.

Como han señalado otros, la reutilización de la contraseña, el phishing, los ataques sin conexión en una base de datos de contraseñas robadas, o una combinación de estos, tienden a ser ataques más exitosos. Pero es porque de cosas como las políticas de contraseñas y los bloqueos de cuentas que el método conceptualmente más sencillo de probar contraseñas no es tan efectivo.

    
respondido por el Ben 09.05.2016 - 14:22
fuente

Lea otras preguntas en las etiquetas