¿Los hackers siguen utilizando técnicas iterativas de descifrado de contraseñas?

Para responder directamente a la pregunta

  

¿Cómo pueden los piratas informáticos descubrir su contraseña usando la   fuerza bruta, método iterativo

En general, romper una contraseña usando 'prueba masiva' se hace fuera de línea. Para hacer esto, un atacante recupera una contraseña almacenada (que es generalmente hash) e intenta romper la seguridad del almacenamiento. Hay varios métodos que se pueden usar para esto, dependiendo de cómo se proteja la contraseña ( crackeo de hash , tabla Rainbow )

Para decirlo más claramente, si un atacante tiene un método para probar una contraseña sin conexión, entonces la oferta de sitios web de bloqueos no es efectiva.

Una implicación de esto, como lo señaló Trey, es que si se reutiliza una contraseña, entonces un atacante solo necesita encontrar el método de recuperación más fácil, y luego el atacante tiene acceso a cualquier lugar donde se usó la contraseña. Si un sitio almacena una contraseña en texto sin formato y luego se recupera, en cualquier lugar donde se use esa contraseña se puede considerar comprometido, independientemente de las medidas de seguridad.

Sí, los atacantes y los probadores de penetración, todavía utilizan herramientas como Hydra para realizar pruebas en masa de contraseñas. Dicho esto, es posible que esta técnica no sea rentable contra algo como un sitio bancario, pero muy a menudo los usuarios usarán exactamente el mismo par de correo electrónico y contraseña en otro sitio con mucha menos seguridad, como un blog personal, un foro de aficionados o un sitio de citas. Así que esos son los sitios donde ocurrirá más fuerza bruta.

También señalaré algo que puede no ser obvio. Esto no representa cómo se pierden la mayoría de las contraseñas a los atacantes. Los sitios pueden ser atacados a través de una gran cantidad de métodos y uno muy común en los últimos años ha sido las inyecciones de SQL. Cuando un ataque como este está disponible, puede dar a un atacante o probador de penetración acceso a la base de datos que a veces contiene todas las contraseñas de un sitio web determinado. Una copia de la base de datos puede ser arrastrada por el atacante a través de este otro agujero. Del mismo modo, no es raro que los atacantes publiquen bases de datos completas de estos nombres de usuario y contraseñas en sitios web como pastebin.com, donde otros atacantes y evaluadores de penetración pueden capturarlos y usarlos.

Esto es algo de lo que creo que la persona promedio no está muy al tanto y me gustaría que fuera más común no usar la misma contraseña en sitios como los sitios de banca como lo haría en un sitio donde la seguridad no es tan importante. .

Del mismo modo, es MUY importante proteger la contraseña de cualquier cuenta de correo electrónico utilizada para bancos u otros sitios de alta seguridad. Especialmente si no se utilizan tokens de autenticación multifactor. El acceso a una cuenta de correo electrónico se puede utilizar para hacer restablecimientos de contraseñas en una gran cantidad de sitios web y otorgar a un atacante acceso rápido a una gran cantidad de activos digitales y amp; cuentas Por lo tanto, siempre que sea posible, habilite la autenticación de múltiples factores o de dos factores, realmente hace una gran diferencia.

Muchos sitios cierran una dirección IP dada después de 5 intentos ...

Si un atacante tiene una red bot, tiene cientos de máquinas, cada una de ellas intenta 5 intentos. Eso da 500 conjeturas, suficientes para capturar las contraseñas realmente comunes. Esto no vale la pena para la mayoría de las cuentas, pero las cuentas de administrador y bancarias se intentan.

Un sitio web cuidadosamente configurado comenzará a solicitar captchas o autenticación de 2 factores para intentos de inicio de sesión después de los primeros cinco fallidos, incluso en diferentes direcciones IP.

Si bien es fácil bloquear una cuenta única después de unos pocos intentos de inicio de sesión incorrectos, es más difícil protegerse contra un ataque contra cada en muchos miles de Computadoras en una red de bots, tal vez utilizando proxies para enmascarar y / o cambiar direcciones IP, especialmente cuando el ataque se desaceleró intencionalmente para evitar generar sospechas.

Si bien un solo usuario puede forzar con bastante facilidad a un solo atacante a alcanzar el umbral de bloqueo de su cuenta única al elegir una contraseña poco común, un atacante que intenta solo las cinco contraseñas principales en cada cuenta es probable que obtenga acceso a una gran parte de las cuentas en el servicio.

Por lo tanto, las políticas de contraseña, como las que usted menciona, no protegen las cuentas individuales. Deben proteger la colección completa de cuentas en conjunto, intentando forzar a todos a evitar las contraseñas más comunes. Si nadie puede usar una de las cinco contraseñas principales, entonces, en teoría, los atacantes tienen una probabilidad mucho menor de tener éxito.

En realidad, los atacantes probablemente pueden predecir el puñado de modificaciones que una persona utilizará para cambiar "contraseña" y "123456" en "P @ ssword1" y "Abc123456!". Por lo tanto, es probable que algunas cuentas aún puedan verse comprometidas de esta manera.

Como han señalado otros, la reutilización de la contraseña, el phishing, los ataques sin conexión en una base de datos de contraseñas robadas, o una combinación de estos, tienden a ser ataques más exitosos. Pero es porque de cosas como las políticas de contraseñas y los bloqueos de cuentas que el método conceptualmente más sencillo de probar contraseñas no es tan efectivo.