Un ataque de fuerza bruta es una técnica de ruptura bien conocida; según ciertos registros, los ataques de fuerza bruta representaron el cinco por ciento de las rupturas de seguridad afirmadas. Un ataque de fuerza bruta incluye el nombre de usuario y las contraseñas «especulativas» para aumentar el acceso no aprobado a un marco. La fuerza bruta es una estrategia de ataque directa y tiene una alta tasa de logros.
Algunos atacantes utilizan aplicaciones y contenidos como dispositivos de fuerza bruta. Estos instrumentos evalúan varias combinaciones de palabras secretas para eludir los formularios de confirmación. En diferentes casos, los atacantes intentan acceder a las aplicaciones web escaneando la ID de sesión correcta. La inspiración del atacante puede incluir la toma de datos, la contaminación de destinos con malware o la ayuda perturbadora.
Si bien algunos atacantes aún realizan ataques de fuerza bruta físicamente, hoy en día prácticamente todos los ataques de fuerza bruta son realizados por bots. Los atacantes tienen arreglos de acreditaciones comúnmente utilizadas, o calificaciones genuinas de clientes, obtenidas a través de brechas de seguridad o la web aburrida. Los bots atacan deliberadamente los sitios e intentan estos arreglos de acreditaciones, y avisan al atacante cuando obtienen acceso.
Tipos de ataques de fuerza bruta:
- Ataques de diccionario: supone nombres de usuario o contraseñas utilizando un diccionario de posibles strings o frases.
- Ataques de tabla arco iris: una tabla arco iris es una tabla precalculada para cambiar las capacidades de hash criptográfico. Muy bien se puede utilizar para calcular una capacidad hasta una longitud específica que consta de una disposición restringida de caracteres.
- Ataque de fuerza bruta inversa: utiliza una contraseña típica o una variedad de contraseñas contra numerosos nombres de usuario imaginables. Se enfoca en una red de clientes para los cuales los atacantes han adquirido información recientemente.
- Ataques híbridos de fuerza bruta: comienza desde la lógica externa para descubrir qué tipo de contraseña podría estar destinado a tener éxito, y luego continúa con la forma sencilla de tratar los intentos de numerosos tipos potenciales.
- Ataque simple de fuerza bruta: utiliza una forma eficiente de lidiar con ‘suposiciones’ que no depende de una lógica externa.
- Relleno de credenciales: utiliza conjuntos de contraseñas y nombres de usuario previamente conocidos, y los intenta en varios sitios. Aventura la forma en que numerosos clientes tienen el mismo nombre de usuario y contraseña en varios marcos.
¿Cómo prevenir el pirateo de contraseñas por fuerza bruta?
Para proteger a su organización de la piratería de contraseñas por fuerza bruta, haga cumplir el uso de contraseñas seguras.
Las contraseñas deben:
- Nunca use información que se pueda encontrar en línea (como los nombres de los miembros de la familia).
- Tener tantos personajes como sea posible.
- Combina letras, números y símbolos.
- Evite los patrones comunes.
- Ser diferente para cada cuenta de usuario.
- Cambia tu contraseña periódicamente
- Utilice una contraseña fuerte y larga
- Usar autenticación multifactor