la semana pasada hablé sobre las contraseñas desde el lado de la seguridad de las cosas. Esta semana me gustaría hablar sobre las contraseñas desde el lado hacker de las cosas, y luego cómo protegerse personalmente de este tipo de ataques. Así que asumamos que soy un hacker y tengo un hash de su contraseña o solo estoy tratando de iniciar sesión en una cuenta en línea. ¿Qué métodos podría usar para adivinar su contraseña?,
ataques de fuerza bruta
Este es probablemente el tipo de ataque más fácil de entender y el que probablemente viene a la mente cuando escuchas las palabras «descifrar contraseñas.»Esencialmente lo que sucede es que el hacker intentará cada combinación posible de números y letras hasta que consigan una coincidencia. Así que el hacker intentaría ‘a’, luego’ aa’, luego’ aaa’, luego’ AAAA’, luego’ aaaaa’, y más tarde’ aaaaaaab ‘ una y otra y otra vez hasta que obtuvieran un éxito. Esto es fácilmente automatizado por las computadoras.
El mayor problema con este tipo de ataque es la cantidad de tiempo que se necesita para probar cada combinación posible, ya que el trabajo requerido escala exponencialmente. Si solo tienes letras minúsculas, eso es solo 26 posibilidades en cada punto. Con mayúsculas, 52. Con números y símbolos, 62-80 + dependiendo del sistema utilizado y las restricciones en las contraseñas. Vamos a dividir la diferencia y decir 76 caracteres posibles para cada lugar en su contraseña., Si tiene una contraseña de 2 caracteres, hay 76 * 76 posibilidades o 5776 posibles contraseñas. Una computadora moderna lo descifraría instantáneamente. Pero a medida que agrega más dígitos, el número de contraseñas posibles sigue 76^n donde n es la longitud de su contraseña. Para cuando llegue a 8 dígitos, hay 1,113,034,787,454,976 contraseñas posibles, que tomaría bastante tiempo probar. Así que podría pensar que ya que la mayoría de los sitios web requieren un mínimo de 6 u 8 caracteres de todos modos, debe ser casi imposible para los hackers adivinar su contraseña. Pero hay una manera mejor.,
ataques de diccionario
todos hemos escuchado en las noticias antes sobre varias violaciones de contraseñas donde millones y millones de cuentas obtienen su información filtrada en internet. Bueno, los hackers son personas inteligentes, y comenzaron a buscar patrones en las cuentas que se filtraron y, como resultado, ahora hay listas de las contraseñas más utilizadas. (Los más comunes son» 12345 » y «password») así que ahora, en lugar de forzar las contraseñas una letra A la vez, intentan estas contraseñas comunes y es exponencialmente más eficiente descifrar contraseñas de esta manera., Para darte un ejemplo de cuán eficiente es esto, más del 50% de las personas usan una de las 25 contraseñas más comunes. Eso es absolutamente ridículo! Con solo 25 contraseñas, podría entrar en el 50% de las cuentas de la gente! Ahora podría decir » Bueno, mi contraseña es segura, en lugar de ‘contraseña’, uso ‘p@w w0rd'» y eso es un poco mejor, pero hay scripts en uso que toman las contraseñas más comunes, y hacen sustituciones comunes como @ para a, @ Para S, o 5 para S, etc. Y prueban todas esas contraseñas., A pesar de que eso es un montón de posibilidades, sigue siendo masivamente más eficaz que un ataque de fuerza bruta, y mucho más probable para llegar a la gente.
Cómo Protegerse
La mejor manera de protegerse es tener un sólido generado al azar, contraseña única para cada sitio web que visite. Ahora, nadie es capaz de recordar todas esas contraseñas diferentes, por lo que utilizan un administrador de contraseñas. Dos populares son LastPass y 1Password. Para ambos servicios, solo necesita recordar una contraseña que usa para obtener todas sus otras contraseñas., Generarán contraseñas aleatorias para usted e incluso las copiarán y pegarán en el cuadro de contraseña para usted en los sitios web, por lo que todo lo que necesita hacer es hacer clic en Iniciar sesión. No puedo recomendar lo suficiente LastPass. Lo uso para todas mis contraseñas, y es genial.
Deja una respuesta