¿Qué es la pulverización de contraseñas y cómo proteger sus contraseñas?

Password Spraying

Cuando hablamos de la seguridad de nuestras cuentas, generalmente hablamos de contraseñas porque las personas a menudo suponen que si su contraseña se ve comprometida, su cuenta se ve comprometida. Sin embargo, eso no es completamente cierto. Incluso si tienen la contraseña, los piratas informáticos no pueden entrar sin la otra información que ingresa en la mayoría de los formularios de inicio de sesión: el nombre de usuario. La gente simplemente no se da cuenta de lo importante que es el nombre de usuario. Los hackers, sin embargo, lo hacen. Así es como se les ocurrió un ataque llamado rociado de contraseña.

¿Contraseña qué?

Por lo general, cuando los delincuentes quieren comprometer una cuenta, toman el nombre de usuario (que a menudo es nuestra dirección de correo electrónico) y lo prueban en combinación con muchas contraseñas diferentes. Utilizan herramientas automatizadas que se basan en largas listas de contraseñas comunes o en un algoritmo que mezcla caracteres al azar. Este es el típico ataque de fuerza bruta en el que los delincuentes ya han identificado al usuario, y solo necesitan encontrar la contraseña.

En un ataque de rociado de contraseña, es al revés. Saben (o más bien asumen) que al menos un usuario ha usado una contraseña determinada. Solo necesitan descubrir quién es esa persona. Para hacer eso, necesitan dos listas: una con contraseñas y otra con nombres de usuario. La lista de contraseñas es mucho más corta de lo que sería en un esfuerzo tradicional de fuerza bruta, y las entradas deben ser relevantes (por ejemplo, si están organizando un ataque contra los usuarios de Amazon, los piratas informáticos se asegurarán de que "amazon "está en algún lugar cerca de la parte superior de la lista de contraseñas). En cuanto a los nombres de usuario, la forma en que se recopilan depende del objetivo.

Los delincuentes toman la primera contraseña de la lista (por ejemplo, "amazon") y la prueban en combinación con todos los diferentes nombres de usuario. Luego, toman la segunda contraseña y hacen lo mismo, y así sucesivamente. Dependiendo del objetivo, el objetivo es comprometer a la mayor cantidad de usuarios posible o entrar en una cuenta, lo que daría a los delincuentes la oportunidad de infiltrarse aún más en el sistema.

¿Cuándo usan los piratas informáticos el rociado de contraseñas?

Para ser justos, aunque definitivamente no debe usar "amazon" como contraseña para su cuenta de Amazon, probablemente deberíamos notar que no es muy probable un ataque de rociamiento de contraseña en una gran plataforma en línea. Es cierto que muchas personas usan contraseñas atrozmente simples, pero no tiene mucho sentido tomar una de esas contraseñas y luego probarla con millones y millones de direcciones de correo electrónico.

Es mucho más fácil tomar una base de datos que se filtró durante un incidente de violación de datos y probar un ataque de relleno de credenciales, por ejemplo. Incluso si no tiene un volcado de datos filtrados, el número casi ilimitado de posibles nombres de usuario hace que adivinar la contraseña sea un enfoque mucho más práctico.

En un entorno empresarial, sin embargo, las cosas son muy diferentes. Por lo general, en una organización, hay un número limitado de intentos fallidos de inicio de sesión para cada cuenta, lo que significa que los piratas informáticos no pueden probar una dirección de correo electrónico con decenas de miles de contraseñas diferentes con la esperanza de adivinar la combinación correcta. El mecanismo de bloqueo probablemente se activará mucho antes de que logren encontrar una coincidencia.

Al mismo tiempo, en una empresa, hay un cierto número (no muy grande) de empleados, por lo tanto, no hay tantos nombres de usuario posibles. A menudo, obtenerlos es tan simple como abrir la página Acerca de nosotros. Y en cuanto a la contraseña, ya que saben a quién intentan comprometer, los piratas informáticos pueden adivinar mejor. Por ejemplo, si están atacando a Nike, es mucho más probable que incluyan "¡solo hazlo!" en su lista de contraseñas en lugar de "adidas-rocks!", por ejemplo.

De repente, un ataque de rociado de contraseña comienza a tener mucho más sentido, y protegerse a usted y a su empresa se convierte en una necesidad.

Prevención de un ataque exitoso de rociado de contraseña

En marzo, Microsoft, los desarrolladores de Azure AD, un sistema de administración de identidad utilizado por muchas empresas, vio un aumento en la cantidad de ataques de rociamiento de contraseñas, y reunieron una lista de consejos que se supone que ayudan a los administradores de sistemas a fortalecer los sistemas de sus empresas y Prevenir la intrusión.

Como ya habrás adivinado, hay muchas cosas que puedes hacer para evitar un ataque de rociado de contraseña: limitar el acceso desde fuera de la oficina, bloquear las IP que hacen demasiados intentos fallidos de inicio de sesión, contratar a un equipo de pruebas de penetración para evaluar el estado de tu Sin embargo, hay un par de pasos más simples que pueden hacer el trabajo: implementar la autenticación multifactor para todos los usuarios y emplear contraseñas más complejas.

No debe olvidar que un ataque de rociado de contraseña todavía depende de adivinar una contraseña creada por un ser humano. Los seres humanos, como hemos establecido en muchos otros artículos, no son terriblemente buenos para crear contraseñas difíciles de adivinar. Prohíba las contraseñas obvias y simples e, idealmente, obligue a los usuarios a usar un administrador de contraseñas que no solo creará contraseñas complejas sino que también las almacenará.

La autenticación multifactor es el otro mecanismo simple que puede detener un ataque de rociado de contraseña en sus pistas. Incluso con la combinación correcta de nombre de usuario y contraseña, los piratas informáticos no pueden ingresar si se requiere información adicional. Los buenos sistemas de gestión de identidad tienen diferentes mecanismos de autenticación de múltiples factores. Todo lo que los administradores de sistemas deben hacer es revisarlos y ver cuál se adapta mejor a sus necesidades.

La aplicación de contraseñas puede parecer mucho trabajo, pero no debe olvidar que estamos hablando de un entorno empresarial en el que comprometer una sola cuenta a veces le da a los piratas informáticos la capacidad de moverse por todo el sistema. Es por eso que no se debe subestimar la amenaza y se deben tomar las precauciones necesarias.

January 10, 2020

Deja una respuesta