En criptografía, un ataque por fuerza bruta es la forma de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso a un sistema informático o a unos datos encriptados.
El concepto más a detalle:
Es el procedimiento por el cual a partir del conocimiento del algoritmo de cifrado empleado y de un par texto claro/texto cifrado, se realiza el cifrado (respectivamente, descifrado) de uno de los miembros del par con cada una de las posibles combinaciones de clave, hasta obtener el otro miembro del par. El esfuerzo requerido para que la búsqueda sea exitosa con probabilidad mejor que la par será operaciones, donde n es la longitud de la clave (también conocido como el espacio de claves). Fuente: Wikipedia.¿Qué tan efectivos son los Ataques de Fuerza Bruta?.
operaciones, donde n es la longitud de la clave (también conocido como el espacio de claves). Fuente: Su efectividad varía dependiendo de dos de factores; Tiempo y tenacidad, el proceso para lograr descifrar una contraseña puede llevar una extensa cantidad de tiempo para que llegue a ser exitoso.
Esto quiere decir que un hacker puede durar desde unos minutos hasta posiblemente años para lograr descifrar una contraseña todo esto depende de la longitud y complejidad de la misma. Sin embargo un ataque de fuerza bruta tiene diferentes extrategías para ser ejecutado.
¿Cómo puedo evitar que descifren mi contraseña?.
Para evitar o mitigar un posible acceso a nuestros datos debemos tener una contraseña que sobrepase los 8 digitos y que incluya caracteres alfanuméricos y signos especiales, la misma cambiarla cada cierto tiempo pro ejemplo cada 90 días máximo y que no incluya parcialmente informaciones personales en la construcción de la misma ya que es lo primero que un hacker probaría.
Ataque de Fuerza Bruta, Ataque de Diccionario y Ataque de Tabla Arcoiris.
- Ataque diccionario: Por una parte, encontramos los ataques de diccionario. Su lógica es sencilla: Consiste en probar todas las palabras del diccionario. Aunque pareciera mucho trabajo por hacer, la verdad es que suele ser más eficaz que un ataque de fuerza bruta porque muchos usuarios emplean una palabra en su idioma que puedan recordar con más facilidad.
- Ataque tabla arcoiris: Parten del valor hash para reproducir los pasos de la cadena hasta obtener la contraseña. Sin embargo, muchas veces el valor no se encuentra en la tabla; por lo que se recrea al reducir el valor con la misma función con la cual se creó la cadena. Este procedimiento se repite hasta conseguir el valor resumen en un punto final. Ahora bien, eso no significa que se ha encontrado la contraseña, sino la cadena de caracteres que al final; terminará revelando el texto plano que compone la contraseña. Se les llaman Tablas Arcoiris porque se asigna un color distinto a cada reducción para evitar confusiones. Al final son tantas las reducciones con sus respectivos colores, que termina por parecer un arcoiris.
- Ataque por fuerza bruta: Que consiste en probar todas las combinaciones posibles.
La respuesta es si los ataques de diccionario y arcoiriris pueden complementar el ataque por fuerza bruta para tener mejores resultados en el menor tiempo posible.
Protección en los mecanismos de contraseña contra Ataques de Fuerza Bruta.
Esta protección se realiza con miras a dificultar los ataques de fuerza bruta. Por ejemplo, si el usuario introduce una clave equivocada deberá esperar un corto tiempo antes de intentarlo de nuevo. Esta medida es exponencial, es decir, se va incrementando el lapso de tiempo de espera a medida que se repiten los intentos fallidos. Otra medida drástica es bloquear la cuenta al X número de intentos fallidos, y lanzar una alarma vía inbox en la cuenta asociada.
- Autenticación multifactor.
Muchos sistemas u proveedores de servicio implementan esto para aumentar la dificultad que puedan descifrar o acceder a los datos del usuario o persona.
¿Es necesario hardware especial para ello?.
Muchos sistemas u proveedores de servicio implementan esto para aumentar la dificultad que puedan descifrar o acceder a los datos del usuario o persona.
¿Es necesario hardware especial para ello?.
No necesariamente pero disminuye el tiempo empleado para el ataque en gran medida si se dispone de gran cantidad de recursos de hardware para ello.
Software (Herramientas) para el ataque por fuerza bruta:
- hashcat (Excelente herramienta para ataques por fuerza bruta y diccionarios).
- John the Ripper.
- Aircrack (Crakeo de redes wifi con contraseña).
- rainbowcrack.
- Pwdump.
- Medusa.
No hay comentarios:
Publicar un comentario