¿Por qué los ataques de fuerza bruta en contraseñas son una preocupación?

Gracias por el A2A 🙂

Si bien no pretendo ser ningún tipo de experto en seguridad, según tengo entendido, en el escenario que ha representado, tenemos un usuario malintencionado que ha obtenido una copia de las contraseñas hash de algún sitio web. En este caso, todos los sistemas de bloqueo y congelación de cuentas serán inútiles, con la base de datos sin procesar puede omitir todo esto.

La razón por la que se usa la fuerza bruta, y por qué es una amenaza, es que con las herramientas y escritorios modernos, un usuario puede hacer una cantidad ridícula de intentos de contraseña. En los tiempos modernos, un usuario puede utilizar tablas de arco iris y su GPU para descifrar contraseñas. Las tablas de arcoíris, según tengo entendido, pueden verificar cadenas de hash para determinar si la contraseña coincide en el diccionario sin pasar por cada permutación. Por lo tanto, incluso una contraseña segura para los estándares humanos que use caracteres alfanuméricos, casos y caracteres especiales, podría descifrarse en un período de tiempo relativamente corto.

El sitio de GeodSoft con el que me he encontrado tiene una muy buena explicación en formato largo que está mucho más informado que yo, y si dedica un tiempo a leerlo, con suerte obtendrá una mejor idea de por qué me han robado una contraseña, incluso si es hash, aún puede ser un gran problema:

http://geodsoft.com/howto/passwo …

En resumen, si un usuario roba una base de datos de contraseñas, tiene todo el tiempo del mundo para ejecutar software de descifrado contra esas contraseñas, y es solo cuestión de tiempo impulsado por la potencia de procesamiento en ese punto.

Aunque la mayoría de los avances tecnológicos actuales están beneficiando a las empresas y los consumidores, también están potenciando y alentando a los piratas informáticos y ladrones a crear nuevos métodos para destruir su privacidad. En Mettle Tech, nos preocupamos por su seguridad y protección, por lo que a partir de su construcción de una estructura de base de datos segura, trabajamos en un ecosistema altamente seguro protegido por los últimos desarrollos tecnológicos. Mantener sus datos seguros y protegidos es nuestra responsabilidad, para que pueda concentrarse en sus otros trabajos dejando la preocupación por la seguridad de los datos.

La facilidad de realizar transacciones bancarias en línea y producir pagos (utilizando tarjetas de crédito y débito) sin duda le ha brindado la ventaja de completar sus trabajos no productivos (pagar pagos, transferir ingresos, etc.) mientras está en movimiento, ahorrando así un tiempo considerable . Pero al mismo tiempo, ha expuesto sus datos personales a los piratas informáticos que continúan descubriendo métodos para obtener una entrada ilegal a sus datos. Si no estás atento y cauteloso, puedes ser presa de sus trucos y técnicas en cualquier momento.

No es solo una especulación. Actualmente se les ocurrió a muchos, reconociéndolo, debes tomar medidas para mantenerte seguro. Sin embargo, si no lo ha hecho, comprenda de otros que han perdido mucho en tales ataques en línea. Recientemente, millones de identificaciones de correo electrónico de Yahoo fueron pirateadas, y muchos de estos ataques se hicieron incluso contra agencias gubernamentales como el reciente ataque al sistema bancario indio, donde el SBI debe volver a emitir millones de tarjetas de débito. Twitter, Microsoft, Adobe, Apple, todos enfrentaron situaciones tan amenazantes o que los piratas informáticos lo terminaron. El mayor puede ser el reclamo estadounidense de algún reclamo desconocido o no probado de piratería rusa.

Incluso GitHub tiene que enfrentarlo; sufrieron un ataque de fuerza bruta para adivinar contraseñas que comprometió algunas cuentas. El negocio confirmó la información de asalto en sus envíos de weblog oficiales. En la publicación se lee, la empresa había informado a los consumidores con cuentas comprometidas utilizando correos electrónicos y les había ayudado con instrucciones para hacer lo necesario. Si bien la organización ha restablecido las contraseñas de los usuarios, está pidiendo a sus clientes que creen nuevas contraseñas.

GitHub junto con otras empresas multinacionales y corporaciones más importantes como Facebook, Microsoft, Google y Twitter abogan por el uso de la autenticación de dos pasos para prevenir este tipo de intentos de piratería. GitHub en el mismo sitio web recomienda habilitar la autenticación en dos pasos y una contraseña robusta. Repasemos estas dos recomendaciones en detalle:

Seleccionar una contraseña robusta

• No es la primera vez que las contraseñas débiles traen dificultades a los usuarios. Adobe final sufrió un ataque de piratas informáticos que afectó a unos 38 millones de usuarios, la mayoría de los cuales habían estado usando contraseñas seguras y fácilmente adivinables como ‘123456’, ‘contraseña’, ‘123123’, etc.
• Use estos consejos al crear contraseñas de inicio de sesión:
• Elija contraseñas exclusivas para todas y cada una de las cuentas. No reutilizará la misma contraseña para dos cuentas o más. Puede ser arriesgado.
• Restablece tus contraseñas regularmente. Le ayudará a bloquear el acceso no autorizado a su cuenta.
• La mejor contraseña es al menos ocho caracteres extendidos que contienen números, símbolos y alfabetos.
• Nunca elija una palabra o identidad significativa o un nombre o lugar para la contraseña. En cambio, elija una palabra o frase al azar mezclando letras, caracteres especiales y números en un tipo sin sentido, como ‘ [¡correo electrónico protegido] !) GM5′. Puede ser difícil de tener en cuenta y es seguro contra ataques de botnet.
• Asegúrese de que el método de recuperación de contraseña sea seguro y funcional.
• Si está tratando de mantener una base de datos de contraseñas, manténgala segura para que los hackers no puedan acceder a ella.
• Incluya una capa de seguridad adicional con autenticación de dos pasos. Pero recuerde que siempre debe acceder al segundo paso mientras lo activa. En mi universidad debido a un problema de red no pude acceder al teléfono, tuve que desactivarlo.

Inmediatamente después de haber diseñado una contraseña de inicio de sesión robusta para su cuenta o base de datos, puede agregarle una capa de protección adicional mediante la autenticación de dos pasos. La mayoría de las empresas de correo electrónico (Gmail) y otras empresas de servicios de correo electrónico ofrecen la opción de habilitar la verificación en dos etapas o 2FA.

Para sus cuentas personales o bases de datos, debe ponerse en contacto con un proveedor confiable de soporte de autenticación de dos pasos para implementarlo con efecto rápido. 2FA está ganando reconocimiento rápidamente como un paso exitoso basado en dispositivos para bloquear ataques de piratería.

El bit que falta es que el límite de tiempo o número de entradas solo es forzado por la interfaz de usuario del servidor, por ejemplo, la ventana de inicio de sesión en Windows / Linux o un sitio web.

Pero los datos en sí (nombre de usuario y algún tipo de parte cifrada / cifrada de la contraseña) se almacenan en algún lugar (ya sea la misma máquina o un servidor de autenticación central). En casi todos los incidentes de piratería, esto es lo que se roba primero, por ejemplo, a través de un error o una configuración incorrecta en un software que se ejecuta en esa máquina.

Para las cuentas de usuario de Linux, por ejemplo, los detalles de las cuentas de usuario se almacenan en dos archivos de texto. Un pirata informático que logró obtener estos archivos utiliza sus propias herramientas (o una de las muchas disponibles) que están escritas específicamente para la fuerza bruta (a veces con sofisticación adicional para reducir el número de posibilidades), por lo que obviamente estas herramientas no tienen Las limitaciones que tienen las interfaces de autenticación de usuario adecuadas.

Una lectura agradable y fácil sobre las contraseñas de pirateo / fuerza bruta es este artículo de Ars Technica: Cómo me convertí en un descifrador de contraseñas

La función de bloqueo en el sitio web / servicio de autenticación evita un ataque de fuerza bruta desde esa perspectiva (aunque presenta la posibilidad de un ataque DOS), el otro lado es si hay una violación real y los crackers también pueden descargue una copia de la base de datos de autenticación. Cuando pueden ver los datos y el código y descubrir cuál es el esquema de almacenamiento, pueden pasar el tiempo que necesiten para tratar de adivinar por fuerza bruta las contraseñas.

Es entonces cuando entra en juego otra fase de seguridad: la antigüedad de la contraseña. Desea establecer un tiempo de caducidad de la contraseña en algún momento en el futuro donde es poco probable que un ataque de fuerza bruta rompa las contraseñas (esto es principalmente suerte), pero no tan pronto que sea un inconveniente completo para los usuarios intentar recordar su contraseña (el Lo único peor que un ataque de fuerza bruta es una grieta donde ni siquiera lo necesitan porque encontraron las contraseñas en los escritorios de los usuarios).

Lo que esto hará es que incluso si el cracker es capaz de hackear la contraseña de los usuarios desde una copia de la base de datos, no les servirá de nada porque la contraseña habrá sido cambiada para entonces en los datos en vivo.

Otro par de medidas de seguridad en línea con eso son el historial de contraseñas, donde no puede reutilizar la misma contraseña para varios cambios (5-10 es lo habitual) y una verificación para asegurarse de que su contraseña sea diferente cada vez por un cierto número de caracteres (generalmente 4 cuando el sistema permite este control de seguridad) (si descifran su contraseña, entonces se dan cuenta de que solo agrega 1 al final de su próxima contraseña, lo hace fácil de descifrar nuevamente).

Finalmente, existe la edad mínima de la contraseña. Esto evita que usuarios inteligentes pero vagos entren y cambien su contraseña una y otra vez para agotar el historial de contraseñas y poder seguir usando la misma contraseña una y otra vez. Esto a menudo se establece en solo un día, pero eso suele ser suficiente para disuadir a los usuarios de jugar con el sistema.

1. Como otros ya han declarado, los ataques de fuerza bruta contra contraseñas generalmente requieren una copia del archivo de ID de usuario / contraseña. El ataque de fuerza bruta puede intentarse fuera de línea en el tiempo libre de los atacantes.
2. Las razones por las que les preocupa es que la mayoría de nosotros todavía no somos muy buenos para proteger el archivo de ID de usuario / contraseña o para dificultar el cifrado de las contraseñas en el archivo para un ataque de fuerza bruta.
3. Incluso los grandes se equivocan. A LinkedIn le robaron su archivo de identificación de usuario / contraseña hace unos años y los piratas informáticos tuvieron un día de campo porque era trivial atacar a través de técnicas de fuerza bruta.
4. Existen medidas de seguridad estándar disponibles para limitar severamente las posibilidades de éxito de los ataques de contraseñas de fuerza bruta, incluso cuando se roba el archivo de ID de usuario / contraseña. Sin embargo, la mayoría de nosotros no los conocemos y no los usamos.
5. Otra contramedida de seguridad muy efectiva para prevenir ataques de contraseñas de fuerza bruta es hacer que sea muy difícil o imposible para un atacante obtener una copia completa del ID de usuario / contraseña.
6. Demasiadas personas piensan que son expertos en seguridad y no lo son. Necesitamos Autenticación Federada donde elegimos una compañía de seguridad especializada para que se encargue del inicio de sesión / autenticación.

Incluso con la funcionalidad de bloqueo en un sitio web, los ataques de fuerza bruta siguen siendo una amenaza. Si un pirata informático puede violar una red y robar una copia de una base de datos que contiene contraseñas, se puede ejecutar un ataque de fuerza bruta sin conexión. Una vez que se exponen las contraseñas, las cuentas se pueden iniciar sesión con éxito en el primer intento.

Si una cuenta se bloquea después de algunos intentos fallidos, es un ataque fácil de denegación de servicio. Por lo general, la tasa se limita simplemente. Eso permite que un ataque de diccionario lento desde varios hosts finalmente tenga éxito: si hay un inicio de sesión SSH con una contraseña de “12345” o “invitado”, los escaneos continuos en Internet lo encontrarán.
Para los hashes robados de fuerza bruta, vea otras respuestas. Por lo general, un ataque de diccionario modificado en lugar de todas las combinaciones de fuerza bruta real (según la reciente película The Imitation Game, en busca de “Heil Hitler” en mensajes codificados nazis)