¿Qué es la fuerza bruta y cómo mantenerse a salvo?

Finalmente encontramos la respuesta a la pregunta sobre el significado de la vida, pero hay un pequeño problema: está en la computadora de tu compañero de cuarto John. Incluso creó una carpeta en el escritorio "El significado de la vida es ...", pero está encriptada con una contraseña.

Una voz en tu cabeza susurra: " ataque de fuerza bruta".

" ¿Qué es la fuerza bruta?" , te preguntas. "¿Y quién dijo eso?"

Tratando de no prestar atención a la última pregunta, continúe y le pregunte a John: “Oye, ¿podrías decirme la contraseña? También quiero saber el significado de la vida ”.

John se negó y se fue a trabajar. Es broma, no tiene trabajo.

Aparte de molestarte, claro está. Sin embargo, salió a comprar cerveza, así que tienes tiempo para averiguar la contraseña.

“ Ataque de fuerza bruta” , insiste la voz.

No es "John123", ni "beer4me". Has llamado a su mamá, pero tampoco es "Ilovegingercookies". Ciertamente sorprendente. Hay millones de combinaciones.

¿A qué te dedicas?

(BRUTE-FORCE ... Está bien, está bien, interrumpe la voz y comienza una búsqueda en Google)

Encuentra algunas curiosidades que lo obligan a hacer algo :

• Los intentos de piratería mediante la fuerza bruta o los ataques de diccionario aumentaron un 400% en 2017.
• El 86% de los suscriptores usan contraseñas, ya filtradas en otras violaciones de datos y disponibles para los atacantes en texto sin formato.
• “123456789” se puede romper 431 veces en un abrir y cerrar de ojos, pero “A23456789” tarda unos 40 años en romperse.
• Puede tomar alrededor de 30-40 mil años para que una contraseña de 12 dígitos sea forzada.
• Los ataques de fuerza bruta utilizan billones de combinaciones para secuestrar su contraseña.
• Más de 290 000 personas utilizan la contraseña “123456”.

¿Cuál es la definición de fuerza bruta?

La fuerza bruta es un método de búsqueda exhaustivo, que intenta todas las posibilidades para llegar a la solución de un problema. Sin poder adivinar u obtener la contraseña, la opción restante es ... romperla.

La piratería de fuerza bruta utiliza un algoritmo de cálculo que prueba todas las combinaciones posibles de contraseñas, por lo tanto, a medida que aumenta la longitud de la contraseña, también aumenta el tiempo que lleva romperla.

Esta es la razón por la que los ataques de contraseña de fuerza bruta pueden tardar cientos o incluso millones de años en completarse.

¿Me pregunto cuánto tiempo tomará romper su contraseña?

Simplemente evite fanfarronear al publicar la contraseña real. Y cámbielo, si resulta que es demasiado fácil. Ahora tenemos que hablar sobre el

Tipos de ataques de fuerza bruta

Si bien cada ataque de fuerza bruta tiene el mismo objetivo, se utilizan diferentes métodos. El más común es el

Ataque de diccionario

Este repasa todas las palabras del diccionario para encontrar la contraseña. Las contraseñas y frases de uso común también se incluyen en la búsqueda, por lo que si su contraseña es "contraseña" o "123456", le tomará un par de segundos descifrarla.

Ataques de fuerza bruta inversa

Estos tienen lugar cuando el atacante tiene su contraseña, pero no su nombre de usuario. Utiliza el mismo método que un ataque de fuerza bruta normal.

Es posible lanzar un ataque tanto para el nombre de usuario como para la contraseña, pero llevará aún más tiempo, lo que reducirá aún más las posibilidades de éxito.

Reciclaje de credenciales

Se trata de un ataque, en el que el pirata informático se aprovecha de una contraseña ya violada . Si alguien puede robar su contraseña de YouTube, seguramente intentará acceder a su Facebook, Twitter, etc. con las mismas credenciales.

Es mejor usar una contraseña única para cada cuenta en línea que tenga. Sin embargo, podría ser frustrante recordar todos estos detalles. Afortunadamente tenemos administradores de contraseñas para eso, algunos de ellos incluso son gratuitos.

¿Cómo hacer fuerza bruta?

La definición de fuerza bruta hace que sea realmente obvio cómo se puede lograr. Con un poco de lectura, realmente se necesita muy poco para hacer daño. También hay una gran cantidad de software diferente para este propósito. Echemos un vistazo a algunos de ellos.

Juan el destripador

Es una popular herramienta de ataque de fuerza bruta , que ha sido una de las favoritas durante mucho tiempo. Es absolutamente gratis y admite 15 plataformas diferentes: Windows, DOS, OpenVMS, Unix, etc. John the Ripper tiene varias funciones para descifrar contraseñas y puede realizar ataques de diccionario.

Grieta del arco iris

Esta es un poco diferente de otras herramientas de fuerza bruta porque genera tablas de arco iris que están precalculadas. Esto ayuda a reducir el tiempo de realización del ataque. La herramienta aún se encuentra en desarrollo activo y está disponible para los sistemas operativos Windows y Linux.

Caín y Abel

Puede utilizar este enfoque para rastrear redes , grabar conversaciones VoIP, decodificar contraseñas codificadas y más. El software antivirus como Avast lo detecta como malware, por lo que debe bloquear su antivirus antes de comenzar.

Dave Grohl

Una herramienta de ataque de fuerza bruta para Mac OS. Es de código abierto y tiene un modo que le permite realizar ataques desde varias computadoras con la misma contraseña. Esto hace que el adivino de contraseñas sea aún más rápido.

Grieta

Una de las herramientas para descifrar contraseñas más antiguas. Funciona solo con el sistema UNIX. Sus estrategias incluyen verificar contraseñas débiles y realizar ataques de diccionario.

Hashcat

Afirma ser la herramienta de descifrado de contraseñas basada en CPU más rápida. Se puede utilizar en plataformas Windows, Linux y Mac y es completamente gratuito. Ampliamente reconocido por la amplia gama de opciones que incluye: diccionario, fuerza bruta, ataques híbridos y más. Hashcat utiliza más de 230 algoritmos.

Aircrack-ng

Este es un adivinador de contraseñas inalámbrico popular , que está disponible para Windows y Linux y también se ha adaptado para ejecutarse en iOS y Android. Con la herramienta, puede encontrar efectivamente la contraseña de una red inalámbrica.

Ahora conoce las herramientas, pero hay más ...

Tener una CPU (Unidad de procesamiento central) y GPU (Unidad de procesamiento de gráficos) mejoradas puede beneficiar enormemente un ataque de fuerza bruta.

La cantidad de intentos que puede realizar por segundo es crucial para el proceso. Un núcleo de CPU es generalmente mucho más rápido que un núcleo de GPU, pero una GPU es excelente para procesar cálculos matemáticos. Más GPU pueden aumentar su velocidad sin ningún límite superior.

Por ejemplo, para romper una contraseña de 8 caracteres en una CPU, tomará (1.7 * 10 ^ -6 * 52 ^ 8) segundos / 2, o 1.44 años. En una GPU, esto solo tomaría unos 5 días. En una supercomputadora, esto tomaría 7,6 minutos.

"El hecho de que seas paranoico no significa que no estén detrás de ti", dijo Joseph Heller, así que ...

Aquí hay algunos consejos para la prevención de ataques de fuerza bruta

Todavía estamos esperando que algo en este planeta esté completamente protegido. Mientras tanto, puede combinar un par de medidas de seguridad.

Captcha

es una forma de reconocer si una computadora o un ser humano está intentando iniciar sesión. Seguro que ha marcado el campo "No soy un robot" en numerosas ocasiones. Tiene sentido ahora. Pero las computadoras son inteligentes. Hay formas de enseñar a la máquina a simular el comportamiento humano. Usar captcha por sí solo no funcionará.

Autenticación de dos pasos

es otra forma útil de garantizar su privacidad. La autenticación comúnmente viene en forma de un código enviado a su teléfono móvil. Solo asegúrate de no perder tu teléfono.

Limitar los intentos de inicio de sesión

puede agregar una capa adicional de seguridad. Los servidores basados ​​en web comienzan a mostrar captchas si ingresa la contraseña incorrecta tres veces o más. Incluso pueden bloquear su dirección IP. Esto hará que la fuerza bruta sea aún más lenta o completamente inútil.

Cifrado

Es esencial tener un algoritmo de cifrado sólido como SHA-512. Asegúrese de no utilizar un algoritmo antiguo con debilidades conocidas.

El cifrado de 256 bits es uno de los métodos de cifrado más seguros , por lo que definitivamente es el camino a seguir. El tiempo de ruptura del cifrado de 256 bits por fuerza bruta requiere 2 ¹²⁸ veces más potencia de cálculo para igualar la de una clave de 128 bits.

Y el último paso es la complejidad P @ $ sw0rd-101, por supuesto.

Combine todo lo anterior y estará lo más seguro posible. Educar a su personal sobre el tema también aumentará las posibilidades de prevención de ataques de fuerza bruta .

Ahora tienes el conocimiento. Has logrado lanzar un ataque de fuerza bruta en la computadora de John. Justo a tiempo.

(la voz es feliz)

Solo toma un par de segundos y su contraseña está descifrada. “DAdams” - no tan seguro - finalmente abres la carpeta y ves que el significado de la vida es… ¡ 42 !

¿De verdad, John?

En el lado positivo, ha aprendido qué es la fuerza bruta y cómo usar un ataque de fuerza bruta .