TIPOS DE ATAQUES
Los atacantes carecen de las credenciales necesarias para iniciar sesión normalmente,por lo que con frecuencia comenzaran su ataque buscando la dirección de correo electrónico o dominio de un objetivo en los volcados de contraseña de un sitio web comprometido.Si el objetivo reutilizo su contraseña en un sitio web que luego se vio comprometido,esa contraseña aun puede ser valida.Pero los usuarios inteligentes usaran contraseñas únicas en todas partes.Entonces el atacante ahora debe recurrir a uno de los dos ataques directos:Ataques de fuerza bruta y ataques de diccionario.
ATAQUES DE DICCIONARIO
En un ataque de diccionario,el atacante utiliza una lista de palabras con la esperanza de que la contraseña del usuario sea una palabra de uso común o una contraseña vista en sitios anteriores.Los ataques de diccionario son óptimos para las contraseñas que se basan en un palabra simple.Las listas de palabras no están restringidas a palabras en ingles,a menudo se incluyen contraseñas comunes como iloveyou o 123456.Los sistemas modernos restringen a sus usuarios de contraseñas tan simples,lo que requiere que los usuarios presenten contraseñas seguras que con suerte no puedan ser encontradas en una lista de palabras.
ATAQUES DE FUERZA BRUTA
Para llevar a cabo un ataque de fuerza bruta,un atacante puede usar una herramienta para intentar cada combinación de letras y números,esperando eventualmente adivinar la contraseña.Si el atacante sabe que una organización requiere caracteres especiales en su contraseña,se podría indicar a la herramienta que incluya letras,números y símbolos. Cada contraseña no importa cuan fuerte sea,es vulnerable a este ataque.Sin embargo este método llevara un tiempo.
El tiempo requerido para descifrar una contraseña corta como un pin de 4 dígitos puede ser inferior a un minuto.Extender eso a seis caracteres con letras y símbolos,puede llevar días. Tenga en cuenta que cada nuevo personaje aumenta exponencialmente la cantidad de tiempo necesario para que un ataque de fuerza bruta descubra la contraseña.Por lo tanto una contraseña segura y larga puede llevar semanas o meses,pero con suficiente poder de computación y un atacante dedicado la contraseña se va a descubrir,es cuestión de tiempo.
DEFENDERSE DE LOS ATAQUES DE FUERZA BRUTA Y DE DICCIONARIO
El uso de una contraseña segura y poco común hará que el trabajo de un atacante sea mas difícil,pero no imposible.Afortunadamente hay mas medidas preventivas que los usuarios finales y empresas pueden tomar para prevenir o detectar estos intentos de ataque.
REDUZCA LA VELOCIDAD DE LOS INICIOS DE SESIÓN REPETIDOS
Esta es la contra medida mas simple disponible.Es poco probable que un usuario final note un retraso de 0.1 segundos al iniciar sesión,pero ese retraso se acumularía rápidamente para un atacante,especialmente si no pueden paralelizar sus intentos.
BLOQUEAR CUENTAS
Aun mejor un sistema se puede configurar para bloquear una cuenta después de un numero especifico de intentos de inicio de sesión. Muchos sitios web activaran protecciones adicionales para cuentas con intentos repetidos de contraseña incorrecta.
ACTUALIZAR CONTRASEÑAS
Los sistemas generalmente requieren que los usuarios cambien las contraseñas regularmente.Algunos entornos corporativos requieren que los usuarios cambien las contraseñas cada 90 días o tal vez incluso cada 30 días. La razón detrás de esto es que un atacante que esta intentando un ataque de fuerza bruta contra una contraseña compleja necesitaría semanas para tener éxito. Si la contraseña cambia durante ese periodo de tiempo el atacante deberá comenzar de nuevo.Sin embargo como muchos usuarios confiesan estos estrictos requisitos de contraseña pueden ser contraproducentes ya que los usuarios eligen contraseñas secuenciales mas débiles.Un atacante intentaría rápidamente incrementar la contraseña.
MONITOREO DE ANOMALÍAS
Finalmente una organización consciente de la seguridad debe monitorear las cuentas de los usuarios para detectar anomalías,como inicios de sesión desde dispositivos o ubicaciones no reconocidas o fallos de inicio de sesión repetidos.Un centro de seguridad con personal puede detectar estos eventos en tiempo real y responder rápidamente bloqueando una cuenta,bloqueando una dirección IP,contactando a un usuario y buscando mas actividad de este atacante en particular.
Contra sistemas simples,los ataques de diccionario y los ataques de fuerza bruta son formas fáciles y garantizadas en la puerta principal.En entornos mas sofisticados estos ataques solo son útiles cuando los intentos pueden combinarse con la actividad normal o dirigirse a una base de datos de contraseñas fuera de linea para descifrar hashes de contraseñas.Aun así estas técnicas son excelentes al conjunto de herramientas de cualquier profesional de seguridad y enfatizan la importancia de actualizar regularmente contraseñas seguras para los usuarios finales.
