De acuerdo

¿Qué es un ataque de fuerza bruta?

Última respuesta oct. 12, 2021 18:16:23 268 3 8 0 0

Un ataque de fuerza bruta descifra las contraseñas al recorrerlas individualmente hasta que se encuentra la contraseña real. Por ejemplo, si una contraseña de 4 dígitos que contiene solo dígitos implica un máximo de 10,000 combinaciones, se puede descifrar en un máximo de 10,000 intentos. Para una contraseña que se establece manualmente (una contraseña no aleatoria se establece manualmente, con una regla que se puede seguir), se puede utilizar un diccionario de contraseñas (por ejemplo, una tabla de arco iris) para buscar una contraseña de uso frecuente, acortando en gran medida el tiempo de agrietamiento.

 

Establecer contraseñas largas y complejas, usar diferentes contraseñas en diferentes lugares, evitar el uso de información personal como contraseñas y cambiar las contraseñas periódicamente son métodos efectivos para defenderse de los ataques de fuerza bruta.

 

Métodos utilizados para iniciar ataques de fuerza bruta

Ataque exhaustivo

El ataque exhaustivo se refiere a generar un conjunto de todas las contraseñas posibles basadas en una longitud de contraseña preestablecida y un conjunto de caracteres seleccionado, y realizar una búsqueda general en el conjunto de contraseñas. Por ejemplo, si una contraseña de 4 dígitos que contiene solo dígitos implica un máximo de 10,000 combinaciones, se puede descifrar en un máximo de 10,000 intentos. Si bien este método teóricamente puede usarse para descifrar cualquier contraseña, el tiempo requerido para hacerlo aumenta exponencialmente a medida que las contraseñas aumentan en complejidad.

 

El ataque exhaustivo se puede utilizar para adivinar un código de verificación de SMS generado aleatoriamente y similares, ya que la posibilidad de que se produzcan varias contraseñas generadas aleatoriamente es la misma y no se ve afectada por la memoria humana.


Ataque de diccionario

Las contraseñas más utilizadas se almacenan en un archivo, que se conoce como diccionario. Un ataque de diccionario involucra a un atacante que prueba todas las contraseñas del diccionario en un intento de descubrir la verdadera.

 

El ataque de diccionario se usa generalmente para adivinar contraseñas configuradas manualmente. La posibilidad de utilizar una contraseña de este tipo está relacionada con la facilidad de memorización. Es más probable que 12345678 y "contraseña" se utilicen como contraseña que fghtsaer. El ataque de diccionario tiene una tasa de acierto ligeramente menor, pero lleva menos tiempo que el ataque exhaustivo.


Ataque de mesa de arcoiris

Un ataque de tabla de arcoiris es un tipo de ataque de diccionario que puede descifrar eficazmente algoritmos hash, como MD5, SHA1 y SHA256 / 512.

 

Para mejorar la seguridad, un sitio web no almacena las contraseñas de los usuarios directamente en una base de datos. En cambio, el sitio web convierte cada contraseña en una cadena de caracteres sin sentido. El algoritmo hash es irreversible, lo que significa que no se puede utilizar ningún algoritmo de descifrado para restaurar las contraseñas originales. Hay dos métodos para descifrar una contraseña hash. Una es probar todas las combinaciones posibles de una contraseña utilizando la búsqueda exhaustiva de claves y luego comparar cada resultado con el valor hash objetivo utilizando el algoritmo de cifrado hash, que consume mucho tiempo. El otro método es generar una tabla de mapeo de todas las contraseñas posibles y las correspondientes cadenas de hash recalculadas por adelantado, lo que consume espacio. Por ejemplo, si una contraseña es una cadena alfanumérica de 14 caracteres, la tabla de asignación de contraseñas y cadenas hash de 32 dígitos ocupa un espacio de almacenamiento de 5,7 x 1014 TB.

 

Una tabla de arcoiris es un método de compensación espacio-temporal. La idea central es aplicar un hash a una cadena de texto sin cifrar para obtener un valor con hash, usar la función de reducción para calcular el valor con hash para obtener otra cadena de texto sin cifrar y repetir los pasos anteriores para generar una cadena de hash. Luego, solo las cadenas inicial y final de la cadena hash se almacenan en la tabla, con las cadenas intermedias eliminadas. Como tal, el espacio de almacenamiento que se consumirá se reduce a la mitad y el número de tiempos de cálculo no aumenta mucho. Se utilizan varias funciones de reducción para calcular cadenas hash, cada cadena representada por un color diferente, lo que produce un efecto de arco iris. De ahí que el nombre sea "mesa de arcoiris".

 

a1

 

Figura 1. Mesa arcoiris


Cuando se usa la tabla de arcoíris para descifrar contraseñas, incluso una PC normal puede alcanzar una velocidad asombrosa de más de 100 mil millones de veces por segundo. Para mejorar la seguridad, una cadena se puede codificar varias veces. Por ejemplo, MD5 se vuelve a realizar después de un proceso MD5 anterior. Además, un dispositivo agrega una cadena (que se llama sal) al principio y al final de una contraseña original para aumentar la longitud de la contraseña, y luego realiza la operación hash. Todos los resultados se pueden agregar a la tabla del arcoiris. La tabla de arcoíris más completa se puede utilizar para descifrar aproximadamente el 99,9% de las contraseñas existentes en Internet.


¿Qué es más vulnerable para un ataque de fuerza bruta?

Muchas personas establecen contraseñas que son demasiado simples, como números de teléfono, fechas de nacimiento, nombres de familiares o mascotas, o la misma contraseña en diferentes sitios web, lo que hace que las contraseñas sean fáciles de descifrar.

 

A finales de 2020, NordPass publicó las 200 contraseñas más utilizadas para ese año. Los infractores de contraseña son 123456, 123456789, "contraseña", 12345678, 111111, 123123, 12345, 1234567890, 1234567, 000000, 1234, etc. Otras contraseñas de uso común implican combinaciones de dígitos y letras, como qwerty, abc123 e picture1.

 

Los ataques de fuerza bruta no causan una intrusión directa, pero los atacantes los utilizan para obtener las cuentas y contraseñas de los sistemas y los usuarios para prepararse para las intrusiones posteriores. En el contexto de las personas, los atacantes pueden tener la intención de robar dinero o identidades, lo último de los cuales puede generar pérdidas económicas aún mayores. Para las empresas, los atacantes utilizan ataques de fuerza bruta para acceder a los servicios Telnet, POP3 y MySQL. El acceso exitoso puede conducir a eventos de alto riesgo, como fuga de información del usuario, intercambio de archivos, fuga de correo electrónico o fallas en el envío de correo electrónico.

 

Saludos.

 

FIN.


También te puede interesar:

Conociendo el concepto de HWTACACS en el ámbito de la seguridad informática

Compilación de publicaciones sobre la solución de seguridad NIP6000 de Huawei

Escenario de aplicación típica del firewall como cliente DNS


Conoce más de esta línea de productos en:

Controlador de red eSight

Foro de switches de Huawei

Foro de seguridad de Huawei

                                                                    

O pregúntale al robot inteligente de Huawei, conócelo aquí: 

Infografía: Conoce a iKnow, el robot inteligente

 


  • x
  • Opciones:

user_3915171
Publicado 2021-9-27 12:36:04
gracias
Ver más
  • x
  • Opciones:

vierial82
Publicado 2021-9-27 16:34:45
I Excelente informacion
Ver más
  • x
  • Opciones:

Tavo
Publicado 2021-10-12 18:16:23
Excelente información
Ver más
  • x
  • Opciones:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte el “ Contrato de usuario.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.
Guía de privacidad y seguridad de usuario
¡Gracias por ser parte de la Comunidad de Soporte Huawei Enteprise! A continuación te ayudaremos a consultar y entender cómo recopilamos, procesamos, protegemos y almacenamos tus datos personales, así cómo los derechos obtenidos de acuerdo con Política de privacidad y Contrato de usuario.