
Las contraseñas rara vez se aprecian hasta que se produce una violación de seguridad; Basta decir que la importancia de una contraseña segura queda clara solo cuando se enfrenta a las consecuencias de una débil. Sin embargo, la mayoría de los usuarios finales desconocen cuán vulnerables son sus contraseñas a los métodos más comunes de cracking de contraseña. Las siguientes son las tres técnicas comunes para agrietarse las contraseñas y cómo defenderse de ellas.
Ataque de fuerza bruta
Los ataques de fuerza bruta son técnicas sencillas pero altamente efectivas para agrietarse las contraseñas. Estos ataques involucran actores maliciosos que utilizan herramientas automatizadas para probar sistemáticamente todas las combinaciones de contraseñas posibles a través de intentos de inicio de sesión repetidos. Si bien tales herramientas han existido durante años, el advenimiento de la potencia informática y el almacenamiento asequibles los ha hecho aún más eficientes hoy en día, especialmente cuando se utilizan contraseñas débiles.
Cómo funciona
Cuando se trata de ataques de fuerza bruta, los actores maliciosos emplean una variedad de tácticas, desde ataques de fuerza bruta simples que prueban todas las combinaciones de contraseñas posibles hasta enfoques más matizados como ataques híbridos e inversos de fuerza bruta. Cada método tiene una estrategia distinta detrás de esto, pero los motivos detrás de los ataques de fuerza bruta son los mismos: obtener acceso no autorizado a datos o recursos protegidos.
Algunas herramientas automatizadas populares para llevar a cabo ataques de fuerza bruta incluyen:
- John the Ripper: Una galleta de contraseña multiplataforma con soporte para 15 sistemas operativos diferentes y cientos de hashes y tipos de cifrado
- L0phtcrack: Una herramienta que utiliza tablas de arco iris, diccionarios y algoritmos multiprocesador para descifrar las contraseñas de Windows
- Hashcat: Una utilidad de recuperación de cracking/contraseña que admite cinco modos de ataque únicos para más de 300 algoritmos de hashing altamente optimizados
Ejemplos
En agosto de 2021, el operador móvil estadounidense T-Mobile fue víctima de un violación Eso comenzó con un ataque de fuerza bruta. El compromiso de seguridad resultó en la exposición de más de 37 millones de registros de clientes que contienen datos confidenciales como números de seguro social, información de la licencia de conducir y otros datos de identificación personal.
Medidas de defensa
Los usuarios deben elegir contraseñas fuertes y complejas y autenticación multifactor (MFA) para proteger contra los ataques de fuerza bruta. Los administradores deben implementar políticas de bloqueo de cuentas y auditar continuamente sus entornos de Windows para contraseñas débiles y violadas. Herramientas como Auditor de contraseña de Specops puede automatizar estos procesos en entornos de TI expansivos.
Ataque del diccionario
En un ataque de diccionario de contraseña, los atacantes cibernéticos intentan obtener acceso utilizando una lista de contraseñas o palabras comunes de un diccionario. Esta lista de palabras predefinidas generalmente incluye las palabras, frases y combinaciones simples más utilizadas (es decir, “Admin123”). Los ataques de diccionario de contraseña subrayan la importancia de las contraseñas complejas y únicas, ya que estos tipos de ataque son especialmente efectivos contra contraseñas débiles o fácilmente adivinables.
Cómo funciona
El proceso comienza con la compilación de una lista de contraseñas potenciales de violaciones de datos, listas de contraseñas comunes o recursos disponibles públicamente. Usando una herramienta automatizada, los actores maliciosos realizan un ataque de diccionario, probando sistemáticamente cada contraseña con una cuenta o sistema de destino. Si se encuentra una coincidencia, el hacker puede obtener acceso y llevar a cabo ataques o movimientos posteriores.
Ejemplos
Los actores maliciosos utilizaron diccionarios de contraseña para descifrar las contraseñas de hash en varios incidentes de seguridad de alto perfil, como el 2013 Yahoo Data Breach y el 2012 LinkedIn Data Breach. Esto les permitió robar la información de la cuenta de miles de millones de usuarios.
Medidas de defensa
Al crear o Restablecimiento de contraseñaslos usuarios deben usar una combinación de letras, números y caracteres especiales, y evitar usar palabras comunes o frases fácilmente adivinables. Los administradores pueden implementar requisitos de complejidad de contraseña en su políticas Para hacer cumplir estos mandatos en toda la organización.
Ataques de mesa del arco iris
Un ataque de tabla de arco iris utiliza una tabla especial (es decir, una “tabla de arco iris) compuesta por cadenas precomputadas o contraseñas de uso común y los hashes correspondientes para descifrar los hash de contraseña en una base de datos.
Cómo funciona
Los ataques de la mesa del arco iris funcionan explotando cadenas de operaciones de hashing y reducción para descifrar eficientemente las contraseñas de hash. Las contraseñas potenciales se cuestionan y almacenan primero junto con sus contrapartes de texto sin formato en la tabla del arco iris, luego se procesan con una función de reducción que los asigna a nuevos valores, lo que resulta en una cadena de hashes. Este proceso se repite varias veces para construir la tabla Rainbow. Cuando los piratas informáticos obtienen un lista de hashpueden revertir la búsqueda de cada valor hash en la tabla Rainbow; una vez que se identifica una coincidencia, se expone la contraseña de texto sin formato correspondiente.
Ejemplos
Mientras que la salación (un método para agregar caracteres aleatorios a las contraseñas antes del hash) ha reducido la efectividad de los ataques de la mesa del arco iris, muchos hashes permanecen sin cal. Además, los avances en las GPU y el hardware asequible han eliminado las limitaciones de almacenamiento una vez asociadas con las tablas de arco iris. Como resultado, estos ataques continúan siendo una táctica probable en los ataques cibernéticos actuales y futuros de alto perfil.
Medidas de defensa
Como se mencionó anteriormente, los hashes salados han reducido significativamente la efectividad de las tablas precomputadas; Por lo tanto, las organizaciones deben implementar algoritmos de hash fuertes (por ejemplo, BCRYPT, SCRYPT) en sus procesos de contraseña. Los administradores también deben actualizar y rotar regularmente contraseñas para reducir la probabilidad de coincidencias/golpes del diccionario de tabla Rainbow.
En resumen, las contraseñas no son perfectas, pero las frases de contraseña complejas y suficientemente largas siguen siendo una primera línea vital de defensa contra técnicas avanzadas de cracking de contraseña. Herramientas como Política de especificaciones Proporcione una capa adicional de protección escaneando continuamente Active Directory en una base de datos de más de 4 mil millones de contraseñas violadas. Contáctenos para una demostración gratuita hoy.



