TIPS TECNOLÓGICOS, DE CONFIGURACIÓN Y NEGOCIO QUE COMPLEMENTAN TU SEGURIDAD

Ataques de Autenticación ¿Cómo roban mi contraseña?

Escrito por marketing on 24/07/13 11:04

La autenticación es un concepto clave en muchos sitios web en Internet, por lo que se podría pensar que después de más de una década de evolución, deberíamos haber descubierto la manera de hacerlo correctamente. Lamentablemente, aun no se ha descubierto la manera ideal de realizar una autenticación. Si bien es cierto los ataques de autenticación, al igual que muchos otros ataques de diversos tipos han evolucionado junto con las tecnologías enfocadas en lograr una fuerte autenticación. Así como los administradores implementan una técnica defensiva, los atacantes se encuentran ante una batalla y buscan formas de evitar dicha defensa. Por lo tanto lo mejor es que aprendamos a identificar las técnicas de ataque más eficaces desde cómo funcionan, cómo podemos evitar convertirnos en víctimas y sobre todo la forma de evitar que sus usuarios se conviertan en las próximas víctimas.
Los ataques de fuerza bruta El concepto detrás de un ataque de fuerza bruta es simple. El atacante no tiene nuestra contraseña, así que tienen que adivinarla. El concepto de fuerza bruta se basa en que usa su ingenio para de adivinar los valores hasta que logra su objetivo. El ejemplo más simple es que el atacante intenta literalmente cada contraseña válida posible en orden alfabético. Por ejemplo; a, b, c, d, e, f, g, h, i, j, k, l, m, n, o, p, q, r, s, t, u, v, w, x, y, z, 0, 1, 2, 3, 4, 5, 6, 7, 8, 9, AA, AB, AC, AD, AF, AG, ah, ..., AAA, AAB, AAC, ..., AAAA, aaab, AAAC, .... Así que si nuestra contraseña fuera "manzana". Mediante esta técnica, el atacante tendría que probar más de 60 millones de contraseñas posibles antes de adivinar la correcta. Así que la “fuerza bruta” es realmente un juego de probabilidad, estadística y optimización. Los atacantes encontraron una de sus primeras ventajas, cuando se dieron cuenta de que sus algoritmos usados para adivinar las contraseñas se podían basar en la mente humana. La pregunta es: "¿Puede un ser humano recordar una serie de ocho o más caracteres verdaderamente aleatorios (por ejemplo, A9bFQ4p0)?" Por lo general la respuesta es no. Así que si se le pide al usuario que introduzca un valor que debe ser capaz de recordar, es probable que el usuario introduzca uno que contenga uno o varios caracteres comunes agrupados, palabras o números (por ejemplo, ilovepam). Por lo tanto, en lugar de pasar por todas las combinaciones posibles de caracteres con una longitud de ocho (más de mil billones de posibilidades), los atacantes primero se enfocan en las combinaciones más comunes. Así, en vez de adivinar ocho caracteres en la secuencia correcta, el atacante tiene que adivinar tres palabras en el orden correcto. Si asumimos que el diccionario que el atacante está utilizando contiene 1.000 de las palabras inglesas más comunes que se encuentran en las contraseñas, entonces el atacante puede adivinar "ilovepam" en poco menos de mil millones de intentos. No es tan rápido, pero es mucho mejor que un cuatrillón de intentos. El siguiente obstáculo es conseguir mil millones, algo que en realidad podría ser lanzado contra un sistema de autenticación remota. Los atacantes descubrieron que cuando alguien crea una contraseña comúnmente usa valores o cosas que tienen un significado personal lo cual es una gran herramienta para que estos logren su cometido con un poco de ingeniería social. Por lo tanto, si un atacante puede sembrar el diccionario con los valores que tengan importancia para el usuario de destino, la probabilidad de adivinar la combinación correcta de palabras aumenta sustancialmente. Por ejemplo, supongamos que la contraseña del usuario es "pam21374" (nombre de la esposa, y la fecha en que se casaron). Antes de que el atacante intente adivinar la contraseña del usuario, buscan toda la información personal en la cuenta de Facebook de ese usuario y cargan todo en un diccionario. Durante esa investigación, habrían encontrado el nombre de la esposa (pam) sin duda y muy probablemente también la fecha del aniversario (2/13) sin olvidar el año en que se casó (1974), junto con tal vez otros 57 puntos de datos. Así, con el uso de un algoritmo para la generación de conjeturas sobre la base de los datos en el diccionario y el contexto en que se recogió, el atacante podría adivinar "pam21374" en menos de un millón de intentos. Pero un millón de intentos todavía representa un reto bastante grave, ya que es muy poco probable que un solo usuario sea capaz de emitir tantos intentos fallidos o “error de contraseña” al inicio de sesión de cualquiera de sus cuentas, lo cual rápidamente bloquea o da aviso al encargado de la cuenta. Estos métodos utilizados por los ciberdelincuentes pueden parecernos fáciles solo un poco laboriosos, sin embargo existen miles de técnicas totalmente mejoradas para que este tipo de ataques se realice en tan solo segundos. Por eso es muy importante contar con mecanismos de autenticación. Para más información visita forums.juniper.net Realizado por Nataly Mejía Marketing

Topics: Lo más nuevo


Deja un comentario

No te pierdas lo mejor en Seguridad ¡Suscríbete al blog!

Lists by Topic

see all

Lo que se dice en Smartekh

ver lo mejor en Seguridad
CyberSecTrends2023
Smartekh Cloud Happy Hour
15-3
TikTok

¿Quieres hablar con un Consultor de Ciberseguridad?

Acerca de Smartekh

Creemos en en el poder que tiene la tecnología para hacer a las empresas más competitivas, desarrollar estrategias de seguridad de alto nivel y profesionales de TI expertos.

Creando sinergia entre tecnología, análisis y consultores expertos; generamos y complementamos la estrategia de seguridad con los más altos niveles de calidad, optimizando el desempeño y la operación del negocio.

Y lo hacemos de la mano de los líderes del sector TI, con un obsesivo compromiso a acelerar su éxito en cada paso al camino.

¿Listo para conocernos? ->

No te pierdas lo mejor de Smartekh

Contacto

[fa icon="phone"]  55 5047 1030

[fa icon="envelope"]  informacion@smartekh.com

[fa icon="home"]  Heriberto Frías 1451 Int. 101, Benito Juárez CDMX 03100

[fa icon="facebook-square"]Facebook [fa icon="linkedin-square"]Linkedin [fa icon="twitter-square"]Twitter [fa icon="pinterest-square"]Pinterest

Copyright 2024 | Diseñado con [fa icon="heart"] a la Seguridad por Smartekh
[fa icon="chevron-up"]Back to top