¿Qué es un ataque de fuerza bruta y cómo prevenirlo?

What is a brute-force attack?

Todos necesitamos resolver CAPTCHA de vez en cuando, pero ¿alguna vez has pensado cuál es el propósito de estas pruebas a veces molestas? ¿Y qué significa CAPTCHA de todos modos? Es sinónimo de C ompletely Un utomated pública, resumen de T urante prueba para decirle omputers C y H Umans una parte, y uno de sus principales objetivos es evitar ataques de fuerza bruta con éxito. Tiempo para algunas preguntas más.

¿Qué es un ataque de fuerza bruta?

Piensa en una cerradura de combinación. No conoce el código de cuatro dígitos que lo desbloquea, por lo que solo intenta adivinarlo. Empiezas con "0000" y si no funciona, prueba con "0001", "0002", "0003", etc. hasta que encuentres la combinación que abre la cerradura. Esto, en términos simples, es un ataque de fuerza bruta, y el mismo principio se puede aplicar a las contraseñas.

Por supuesto, no es tan fácil como parece. Por lo general, las contraseñas constan de más de cuatro caracteres, y generalmente hay letras en ellas que, como veremos en un minuto, significa que el número de combinaciones posibles es mucho mayor. Con todo, un ataque de fuerza bruta en su forma tradicional no es una forma brillante y efectiva de romper una contraseña. Es por eso que una evolución del ataque de fuerza bruta llamada ataque de diccionario es mucho más común hoy en día.

¿Qué es un ataque de diccionario?

En un ataque de diccionario, los hackers todavía intentan adivinar la contraseña. La diferencia es que en un intento de fuerza bruta, están disparando en la oscuridad, mientras que aquí, están haciendo conjeturas educadas. Este ataque es posible por el hecho de que los usuarios simplemente no son muy buenos con las contraseñas .

Memorizar múltiples contraseñas complejas es difícil, por eso muchas personas recurren a proteger sus cuentas con palabras simples como "contraseña" o patrones de teclado como "qwerty". Al reunir largas listas de contraseñas de uso común, es mucho más probable que los hackers adivinen la contraseña con muchos menos intentos.

Ataques fuera de línea y en línea

Tanto el ataque de fuerza bruta tradicional como la variedad de diccionario se pueden realizar en línea o fuera de línea. En un ataque en línea, los piratas informáticos intentan adivinar la contraseña en la página de inicio de sesión. Cuando están fuera de línea, han violado el proveedor de servicios y han descargado la base de datos que contiene su contraseña cifrada. Después de recrear localmente el mecanismo de hash, intentan adivinar la contraseña sin conectarse a la página de inicio de sesión.

¿Dónde entra CAPTCHA en todo esto?

Es un mecanismo para detener los ataques en línea de fuerza bruta y diccionario. Como ya habrás adivinado, los atacantes no se sientan frente a un teclado probando diferentes contraseñas hasta que aparezca "Acceso concedido" en la pantalla. Utilizan herramientas y software automatizados y, por sofisticadas que sean, no son capaces de resolver una buena prueba CAPTCHA. Por lo general, existen otras precauciones, como los límites en la cantidad de intentos fallidos de inicio de sesión y el bloqueo de IP que generan tráfico sospechoso, pero una prueba CAPTCHA es la solución más simple (aunque no completamente infalible).

Sin embargo, en un ataque fuera de línea, una prueba CAPTCHA es completamente irrelevante. Ahí es donde debes intervenir.

Protéjase contra los ataques de fuerza bruta

La única manera de asegurarse de que su contraseña no sea susceptible a un ataque de diccionario es asegurarse de que no esté en los diccionarios de los hackers. Cualquier patrón de teclado debe estar fuera de discusión, incluso si cree que no es fácil de adivinar. Si la contraseña es una palabra significativa, también podría ser vulnerable. No olvide que en un ataque fuera de línea, los piratas informáticos no necesitan preocuparse por quedar atrapados o quedarse sin intentos de inicio de sesión, por lo que teóricamente pueden cargar el vocabulario completo de un idioma y esperar a que aparezca la palabra correcta. Una cadena aleatoria de caracteres que no tiene sentido no solo lo protegerá de los ataques del diccionario, sino que también hará que los intentos de fuerza bruta sean mucho más difíciles.

Dependiendo de la longitud y el tipo de caracteres utilizados, hay un número finito de combinaciones posibles para cada contraseña. Para un código numérico de cuatro caracteres, por ejemplo, tiene un total de 10 mil combinaciones posibles. Sin embargo, si agrega letras minúsculas a la ecuación, inmediatamente aumenta el número a casi 1.7 millones. Agregue letras mayúsculas y verá cerca de 14.8 millones de combinaciones.

Puede parecer mucho, pero las herramientas modernas de descifrado de contraseñas pasarán por todas estas combinaciones en segundos, por lo que, además de recomendar el uso de la mayor cantidad de caracteres posible, los expertos también dicen que una buena contraseña es al menos 8 caracteres de largo.

Algunos de ustedes pueden estar leyendo este pensamiento "más fácil decirlo que hacerlo". Bueno, consideramos que frustrar los intentos de fuerza bruta nunca ha sido tan simple. Con Cyclonis Password Manager , crear y almacenar múltiples contraseñas seguras es muy sencillo. El generador automático de contraseñas creará contraseñas aleatorias que consisten en números, letras y caracteres especiales, y depende de usted decidir cuánto tiempo desea que sean. Tampoco tiene que preocuparse por recordarlos. Cyclonis Password Manager colocará todas sus contraseñas en una bóveda encriptada a la que podrá acceder a través de su contraseña maestra.

October 9, 2019

Deja una respuesta