un ataque de fuerza bruta es un método de ensayo y error utilizado por los programas de aplicación para decodificar datos cifrados, como contraseñas o claves de cifrado de datos estándar (DES), a través de un esfuerzo exhaustivo (utilizando la fuerza bruta) en lugar de emplear estrategias intelectuales. Del mismo modo que un criminal podría irrumpir o «romper» una caja fuerte al probar muchas combinaciones posibles, una aplicación de ataque de fuerza bruta procede a través de todas las combinaciones posibles de caracteres legales en secuencia.,
un hacker puede usar un ataque de fuerza bruta para obtener acceso a un sitio web y una cuenta, luego robar datos, cerrar el sitio o ejecutar otro tipo de ataque. La fuerza bruta se considera un enfoque infalible, aunque requiere mucho tiempo.
los Crackers a veces se usan en una organización para probar la seguridad de la red, aunque su uso más común es para ataques maliciosos. Algunas variaciones, como L0phtcrack de L0pht Heavy Industries, comienzan por hacer suposiciones, basadas en el conocimiento de prácticas comunes o centradas en la organización y luego aplican la fuerza bruta para descifrar el resto de los datos., L0phtcrack usa fuerza bruta para atacar contraseñas de Windows NT desde una estación de trabajo. PC Magazine informó que un administrador del sistema que utilizó el programa desde un terminal de Windows 95 sin privilegios administrativos, fue capaz de descubrir el 85 por ciento de las contraseñas de office en veinte minutos.
cómo funcionan los ataques de fuerza bruta
los ataques de fuerza bruta comúnmente usarán herramientas automatizadas para adivinar varias combinaciones de nombres de usuario y contraseñas hasta que encuentren la entrada correcta. Cuanto más larga sea la contraseña, más tiempo tardará normalmente en encontrar la entrada correcta.,
Existen diferentes tipos de ataques de fuerza bruta. Por ejemplo, el reciclaje de credenciales es una forma de ataques de fuerza bruta donde se utilizan nombres de usuario y contraseñas de ataques anteriores. Los ataques de fuerza bruta inversa comienzan con el ataque teniendo la contraseña como un valor conocido, pero no el nombre de usuario. El hacker seguirá el mismo patrón que un ataque de fuerza bruta normal para encontrar el nombre de usuario correcto. Un ataque de diccionario es otro tipo de ataque de fuerza bruta donde todas las palabras en un diccionario se prueban para encontrar una contraseña. Los ataques de diccionario también pueden aumentar las palabras con números, caracteres y más., Formas adicionales de ataques de fuerza bruta podrían intentar usar las contraseñas más utilizadas, como» password»,» 12345678 «(o cualquier secuencia numérica como esta) y «qwerty».»
cómo prevenir ataques de fuerza bruta
las formas comunes de prevenir el cracking de fuerza bruta incluyen:
- agregar complejidad a la contraseña: esto hará que cualquier proceso de adivinar una contraseña tome significativamente más tiempo. Algunos sitios web, por ejemplo, requerirán contraseñas de 8-16 caracteres, con al menos una letra y un número con caracteres especiales (como «.,»), así como no permitir que un usuario tenga su nombre, nombre de usuario o ID en su contraseña.
- intentos de inicio de sesión: Agregar intentos de inicio de sesión bloqueará a un usuario durante un período de tiempo especificado que exceda una cantidad específica de intentos de ingresar contraseñas/nombres de usuario.
- s: estos son los cuadros con mostrarán un cuadro con texto deformado y le preguntarán al usuario cuál es el texto en el cuadro. Esto evita que los bots ejecuten los scripts automatizados que aparecen en los ataques de fuerza bruta, mientras que sigue siendo fácil para un humano pasar.,
- autenticación de dos factores( un tipo de autenticación multifactor): esto agrega una capa de seguridad a la forma principal de autenticación. La seguridad de dos factores requiere dos formas de autenticación (por ejemplo, para iniciar sesión en un nuevo dispositivo Apple, los usuarios deben ingresar su ID de Apple junto con un código de seis dígitos que se muestra en otro de sus dispositivos previamente marcado como de confianza).
una buena manera de protegerse contra ataques de fuerza bruta es usar todas o una combinación de las estrategias anteriores.