FeaturedNOTICIAS

Cómo protegerse de los ataques de diccionario de contraseñas – CloudSavvy IT


contraseña en el diccionario
Contimis Works / Shutterstock.com

Los ataques de diccionario amenazan la seguridad de sus redes y plataformas. Intentan comprometer una cuenta de usuario generando una contraseña coincidente. Descubra cómo funcionan y cómo vencerlos.

Diccionario Attacchi

Las cuentas de usuario en sistemas informáticos, sitios web y servicios alojados deben protegerse del acceso no autorizado. La autenticación de usuario es la forma más común de hacer esto. A los usuarios se les asigna una identificación de usuario única (para cuentas en línea, esta suele ser su dirección de correo electrónico) y una contraseña. Estos dos datos deben proporcionarse, comprobarse y verificarse antes de que el usuario pueda acceder a la cuenta.

Los ataques de diccionario son una familia de ciberataques que comparten una técnica de ataque común. Usan listas largas, a veces bases de datos completas, de palabras y una pieza de software. El software lee cada palabra de la lista por turno e intenta usarla como contraseña para la cuenta atacada. Si alguna de las palabras de la lista coincide con la contraseña auténtica, la cuenta está comprometida.

Estos ataques difieren del tipo más primitivo de ataque de fuerza bruta. Los ataques de fuerza bruta prueban combinaciones aleatorias de letras y caracteres con la esperanza de que encuentren la contraseña por accidente y tengan buena suerte. Estos ataques son ineficaces. Consumen mucho tiempo y son costosos.

El esfuerzo requerido para descifrar una contraseña aumenta enormemente con cada letra adicional que agrega a su contraseña. Hay órdenes de magnitud más combinaciones en una contraseña de ocho caracteres que en una contraseña de cinco caracteres. No hay garantía de que un ataque de fuerza bruta tenga éxito alguna vez. Pero con los ataques de diccionario, si una de las entradas de la lista coincide con su contraseña, el ataque finalmente tendrá éxito.

Por supuesto, la mayoría de las redes corporativas aplicarán el bloqueo automático de la cuenta después de una cierta cantidad de intentos fallidos de inicio de sesión. Pero la mayoría de las veces, los actores de amenazas comienzan con sitios web corporativos, que a menudo tienen controles menos estrictos sobre los intentos de inicio de sesión. Y si obtienen acceso al sitio web, pueden probar esas credenciales en la red corporativa. Si el usuario reutilizó la misma contraseña, los actores de la amenaza ahora están en la red corporativa. En la mayoría de los casos, el sitio web o el portal no es el objetivo real. Es un escenario fijo de viaje al premio real del actor de amenazas: la red corporativa

El inicio de sesión en el sitio web permite a los actores de amenazas inyectar código malicioso que monitoreará los intentos de inicio de sesión y registrará las ID de usuario y las contraseñas. Enviará la información a los actores de la amenaza o la registrará hasta que regresen al sitio para recopilarla.

RELACIONADO: Cómo usar Pass, un administrador de contraseñas de línea de comandos para sistemas Linux

No solo palabras en un archivo

Los primeros ataques del diccionario fueron solo eso. Usaron las palabras del diccionario. Esta es la razón por la que «nunca use una palabra del diccionario» fue parte de la guía para elegir una contraseña segura.

Ignorar este consejo y elegir una palabra del diccionario de todos modos, y luego agregar un dígito para que no coincida con una palabra en el diccionario es igual de pobre. Los actores de amenazas que escriben el software de ataque de diccionario son sabios al respecto. Han desarrollado una nueva técnica que prueba cada palabra de la lista, muchas veces. Con cada intento, se agregan algunos dígitos al final de la palabra. Esto se debe a que las personas a menudo usan una palabra y agregan un dígito como 1, luego 2, etc., cada vez que necesitan cambiar su contraseña.

A veces agregan un número de dos o cuatro dígitos para representar un año. Podría representar un cumpleaños, un aniversario, el año en que su equipo ganó la copa o algún otro evento importante. A medida que las personas usan el nombre de sus hijos u otras personas importantes como contraseñas, las listas de diccionarios se han ampliado para incluir nombres masculinos y femeninos.

Y el software ha vuelto a evolucionar. Los patrones que reemplazan números con letras, como 1 para «i», 3 para «e», 5 para «s», etc., no añaden una complejidad significativa a su contraseña. El software conoce las convenciones y también trabaja a través de estas combinaciones.

Todas estas técnicas todavía se utilizan hoy en día, junto con otras listas que no contienen palabras estándar del diccionario. Contienen contraseñas reales.

¿De dónde provienen las listas de contraseñas?

El conocido sitio web Have I Been Pwned almacena una colección de búsquedas de más de 10 mil millones de cuentas comprometidas. Siempre que ocurre una filtración de datos, los encargados del mantenimiento del sitio intentan obtener los datos. Si logran adquirirlo, lo agregan a sus bases de datos.

Puede buscar libremente en su base de datos de direcciones de correo electrónico. Si su dirección de correo electrónico se encuentra en la base de datos, se le indica qué violación de datos filtró su información. Por ejemplo, encontré una de mis antiguas direcciones de correo electrónico en el ¿Me han engañado? Base de datos. Se filtró en un pirateo de 2016 del sitio web de LinkedIn. Esto significa que mi contraseña para ese sitio también sería pirateada. Pero como todas mis contraseñas son únicas, todo lo que tuve que hacer fue cambiar la contraseña de ese sitio.

¿Me han engañado? tiene una base de datos separada para contraseñas. Las direcciones de correo electrónico no pueden coincidir con las contraseñas en el ¿Me han engañado? sitio, por razones obvias. Si busca su contraseña y la encuentra en la lista, no significa necesariamente que la contraseña provenga de una de sus cuentas. Con 10 mil millones de cuentas pirateadas, habrá entradas duplicadas. El punto interesante es que le dicen cuán popular es esa contraseña. ¿Pensaste que tus contraseñas eran únicas? Probablemente no.

Pero si la contraseña en la base de datos proviene de una de sus cuentas o no, si está en el ¿Me han engañado? sitio web serán listas de contraseñas utilizadas por los actores de amenazas que atacan el software. No importa cuán misteriosa u oscura sea tu contraseña. Si está en la lista de contraseñas, no es de confianza, así que cámbielo inmediatamente.

RELACIONADO: ¿Ha sido pirateado? 10 indicadores que dicen que sí

Variantes de ataques de descubrimiento de contraseñas

Incluso con ataques de nivel relativamente bajo, como los ataques de diccionario, el atacante puede utilizar algunas búsquedas simples para intentar facilitar el trabajo del software.

Por ejemplo, pueden registrarse o registrarse parcialmente en el sitio que desean atacar. Luego podrán ver las reglas de complejidad de contraseña para ese sitio. Si la longitud mínima es de ocho caracteres, el software se puede configurar para que comience con cadenas de ocho caracteres. No tiene sentido probar todas las cadenas de cuatro, cinco, seis y siete caracteres. Si hay caracteres que no están permitidos, se pueden eliminar del «alfabeto» que puede utilizar el software.

A continuación, se ofrece una breve descripción de los diferentes tipos de ataques basados ​​en listas.

  • Ataque de fuerza bruta tradicional: En realidad, este no es un ataque basado en listas. Un paquete de software dedicado y especialmente escrito genera todas las combinaciones de letras, números y otros caracteres, como signos de puntuación y símbolos, en cadenas progresivamente más largas. Pruebe cada una como contraseña en la cuenta atacada. Si genera una combinación de caracteres que coincide con la contraseña de la cuenta atacada, esa cuenta está comprometida.
  • Ataque de diccionario: Un paquete de software dedicado y especialmente escrito toma una palabra a la vez de una lista de palabras del diccionario y las prueba como contraseña para la cuenta atacada. Las transformaciones se pueden aplicar a las palabras del diccionario, como agregar dígitos y reemplazar dígitos por letras.
  • Ataque de búsqueda de contraseña: Similar a un ataque de diccionario, pero las listas de palabras contienen contraseñas reales. El software automatizado lee una contraseña a la vez de una enorme lista de contraseñas recopiladas a partir de violaciones de datos.
  • Ataque de búsqueda de contraseña inteligente: Como un ataque de contraseña, pero se prueban las transformaciones de cada contraseña, así como la contraseña «desnuda». Las transformaciones emulan trucos de contraseñas de uso común, como la sustitución de dígitos por vocales.
  • Ataque API: En lugar de intentar piratear la cuenta de un usuario, estos ataques utilizan software para generar cadenas de caracteres que esperan que coincidan con la clave de un usuario para una interfaz de programación de aplicaciones. Si pueden acceder a la API, es posible que puedan explotarla para exfiltrar información confidencial o derechos de autor intelectual.

Una palabra sobre contraseñas

Las contraseñas deben ser seguras, únicas y no estar relacionadas con nada que se pueda descubrir o inferir sobre usted, como los nombres de los niños. Las frases de contraseña son mejores que las contraseñas. Tres palabras no relacionadas unidas por algunos signos de puntuación son un modelo muy sólido para una contraseña. En contra de la intuición, las frases de contraseña suelen utilizar palabras de diccionario, y siempre se nos ha advertido que no usemos palabras de diccionario en las contraseñas. Pero combinarlos de esta manera crea un problema muy difícil de resolver para el software de ataque.

Podemos utilizar el sitio web ¿Qué tan segura es mi contraseña? Para probar la solidez de nuestras contraseñas.

  • Cloudeavvyit: Tiempo estimado de descanso: tres semanas.
  • cl0uds4vvy1t: Tiempo estimado de rotura: tres años.
  • Treinta.piume.trave: Tiempo estimado para agrietarse: ¡41 billones de años!

Y no olvide la regla de oro. Las contraseñas solo deben usarse en un sistema o sitio web. Nunca deben usarse en más de un lugar. Si usa contraseñas en más de un sistema y uno de esos sistemas es pirateado, todos los sitios y sistemas en los que usó esa contraseña están en riesgo porque su contraseña estará en manos de los actores de amenazas y sus listas de contraseñas. Ya sea que su contraseña tarde 41 billones de años en descifrarse o no, si está en sus listas de contraseñas, el tiempo de descifrado es completamente irrelevante.

Si tiene demasiadas contraseñas para recordar, use un administrador de contraseñas.

RELACIONADO: Por qué debería utilizar un administrador de contraseñas y cómo empezar

Cómo protegerse de los ataques de fuerza bruta

Una estrategia defensiva en capas siempre es lo mejor. Ninguna medida defensiva lo hará inmune a los ataques de diccionario, pero hay una serie de medidas que puede considerar que se complementarán entre sí y reducirán en gran medida el riesgo de ser susceptible a estos ataques.

  • Habilitar la autenticación multifactor donde sea posible. Esto trae a la ecuación algo físico que el usuario posee, como un teléfono celular, una memoria USB o un control remoto. La información enviada a una aplicación en el teléfono o información en el control remoto o llave USB se incorpora al proceso de autenticación. La identificación de usuario y la contraseña por sí solas no son suficientes para iniciar sesión en el sistema.
  • Utilice contraseñas y frases de contraseña seguras que son únicos y se almacenan de forma segura en forma cifrada.
  • Crear e implementar una política de contraseñas que rige el uso, la protección y la redacción aceptable de las contraseñas. Preséntelo a todo el personal y hágalo obligatorio.
  • Limitar los intentos de inicio de sesión a un número bajo. Bloquear la cuenta cuando se haya alcanzado el número de intentos fallidos o bloquearla Y forzar un cambio de contraseña.
  • Habilitar captcha u otros pasos de autenticación secundarios basados ​​en imágenes. Estos están destinados a detener los robots y el software de contraseñas porque un humano tiene que interpretar la imagen.
  • Considere usar un administrador de contraseñas. Un administrador de contraseñas puede generar contraseñas seguras para usted. Recuerde qué contraseña va con qué cuenta, por lo que no es necesario. Un administrador de contraseñas es la forma más fácil de tener contraseñas únicas y estrictas para cada cuenta que necesita controlar.

RELACIONADO: ¿Utiliza 2FA? Excelente. Pero no es infalible

TE INTERESA>>  ¿Por qué no deberías forrar tu horno con papel de aluminio?

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba