Las 7 tácticas más comunes utilizadas para hackear contraseñas
Cuando escuches “violación de la seguridad,” ¿Qué viene a la mente? Un pirata informático malévolo sentado frente a las pantallas 10 de los hackers más famosos del mundo (y qué les sucedió) 10 de los hackers más famosos del mundo (y qué pasó con ellos) de hackers de sombrero blanco contra hackers de sombrero negro. Aquí están los hackers más famosos de la historia y lo que están haciendo hoy. Leer más con Matriz ¿Transmisión de texto digital hacia abajo? ¿O un adolescente que vive en un sótano que no ha visto la luz del día en tres semanas? ¿Qué tal un supercomputador poderoso que intenta hackear el mundo entero??
La realidad es que todas esas situaciones pueden reducirse a una simple faceta: la contraseña humilde, pero vital. Si alguien tiene tu contraseña, es esencialmente el juego terminado. Si tu contraseña es demasiado corta, o es fácil de adivinar, se acabó el juego. Y cuando hay una brecha en la seguridad, puedes adivinar qué buscan las personas infames en la red oscura. Está bien. Tu contraseña.
Hay siete tácticas comunes utilizadas para hackear contraseñas. Vamos a ver.
1. Diccionario
En primer lugar, en la guía de tácticas de pirateo de contraseñas comunes está el ataque al diccionario. ¿Por qué se llama un ataque de diccionario? Porque intenta automáticamente cada palabra en un determinado “diccionario” contra la contraseña. El diccionario no es estrictamente el que usaste en la escuela..
No. Este diccionario es en realidad un archivo pequeño que también contendrá las combinaciones de contraseñas más utilizadas. Eso incluye 123456, qwerty, password, mynoob, princess, béisbol y clásico de todos los tiempos, hunter2.
Pros: rápido, normalmente se desbloqueará algunos cuentas tristemente protegidas.
Contras: incluso las contraseñas ligeramente más fuertes permanecerán seguras.
Mantente a salvo por: use una contraseña segura de un solo uso para cada cuenta, junto con una aplicación de administración de contraseñas. El administrador de contraseñas le permite almacenar sus otras contraseñas Cómo los administradores de contraseñas mantienen seguras sus contraseñas Cómo los administradores de contraseñas mantienen seguras sus contraseñas Las contraseñas que son difíciles de descifrar también son difíciles de recordar. ¿Quieres estar seguro? Necesita un administrador de contraseñas. Así es como funcionan y cómo te mantienen seguro. Leer más en un repositorio. Luego, puede usar una contraseña única y ridículamente segura para cada sitio. Aquí están nuestras opciones de aplicación de administración de contraseñas. ¿Tu Administrador de contraseñas es seguro? 5 servicios comparados ¿Es seguro tu administrador de contraseñas? 5 Servicios comparados A menos que tenga una memoria increíble, no hay forma de que pueda esperar recordar todos sus nombres de usuario y contraseñas. La opción sensata es usar un administrador de contraseñas, pero ¿cuál es la mejor? Lee mas .
2. Fuerza bruta
A continuación, consideramos un ataque de fuerza bruta, en el que un atacante prueba todas las combinaciones de personajes posibles. Las contraseñas intentadas coincidirán con las especificaciones de las reglas de complejidad, por ejemplo, incluyendo una mayúscula, una minúscula, decimales de Pi, su pedido de pizza, etc..
Un ataque de fuerza bruta también probará primero las combinaciones de caracteres alfanuméricos más utilizadas. Estos incluyen las contraseñas enumeradas anteriormente, así como 1q2w3e4r5t, zxcvbnm y qwertyuiop.
Pros: Teóricamente romperá la contraseña probando cada combinación.
Contras: Dependiendo de la longitud de la contraseña y la dificultad, podría llevar un tiempo extremadamente largo. Agregue algunas variables como $, &, , o], y la tarea se vuelve extremadamente difícil.
Mantente a salvo por: siempre use una combinación variable de caracteres y, cuando sea posible, introduzca símbolos adicionales para aumentar la complejidad 6 Consejos para crear una contraseña inquebrantable que pueda recordar 6 Consejos para crear una contraseña inquebrantable que pueda recordar Si sus contraseñas no son únicas e irrompibles, puede también abre la puerta principal e invita a los ladrones a almorzar. Lee mas .
3. Phishing
Esto no es estrictamente “cortar,” pero caer presa de un intento de phishing o spear phishing generalmente terminará mal. Correos electrónicos de phishing general enviados por miles de millones a todo tipo de usuarios de Internet en todo el mundo..
Un correo electrónico de phishing generalmente funciona así:
- El usuario objetivo recibe un correo electrónico falsificado que se dice que proviene de una organización o empresa importante
- El correo electrónico falso requiere atención inmediata, con un enlace a un sitio web
- El enlace al sitio web en realidad los enlaces a un portal de inicio de sesión falso, simulado para que aparezca exactamente igual que el sitio legítimo
- El usuario objetivo desprevenido ingresa sus credenciales de inicio de sesión y se redirige o se le indica que intente nuevamente
- Las credenciales de los usuarios se roban, se venden o se usan de forma incorrecta (¡o ambas cosas!).
A pesar de que algunas botnets extremadamente grandes quedaron fuera de línea durante 2016, a finales de año la distribución de spam se había multiplicado por cuatro [IBM X-Force PDF, Registro]. Además, los archivos adjuntos maliciosos aumentaron a una velocidad sin precedentes, según la imagen de abajo.
Y, según el Informe de amenazas de Internet de Symantec 2017, las facturas falsas son el principal reclamo de phishing.
Pros: el usuario literalmente entrega su información de inicio de sesión, incluida la contraseña. Tasa de aciertos relativamente alta, que se adapta fácilmente a servicios específicos (las ID de Apple son el objetivo número 1).
Contras: Los correos electrónicos no deseados se filtran fácilmente y los dominios de correo no deseado están en la lista negra.
Mantente a salvo por: hemos cubierto cómo detectar un correo electrónico de suplantación de identidad (phishing) Cómo detectar un correo electrónico de suplantación de identidad (phishing) Cómo detectar un correo electrónico de suplantación de identidad (phishing) ¡Atrapar un correo electrónico de suplantación de identidad es difícil! Los estafadores se hacen pasar por PayPal o Amazon, intentando robar su contraseña y la información de su tarjeta de crédito, y su engaño es casi perfecto. Te mostramos cómo detectar el fraude. Más información (así como nuevas técnicas de suplantación de identidad (phishing) y vishing y smishing Nuevas técnicas de suplantación de identidad (phishing) y smishing Nuevas técnicas de suplantación de identidad (phishing) para ser consciente de: vishing y smishing Vishing y smishing son variantes peligrosas y nuevas de phishing. sabes un intento de vishing o smishing cuando llega? ¿Y es probable que seas un objetivo? Lee más). Además, aumente su filtro de spam a su configuración más alta o, mejor aún, use una lista blanca proactiva. Use un verificador de enlaces para determinar 5 sitios rápidos que le permiten verificar si los enlaces son seguros. 5 sitios rápidos que le permiten verificar si los enlaces son seguros. Cuando reciba un enlace, debe asegurarse de que no sea una fuente de malware o un frente para phishing - y estos verificadores de enlaces pueden ayudar. Lea más si un enlace de correo electrónico es legítimo antes de hacer clic.
4. Ingeniería social
La ingeniería social es algo así como el phishing en el mundo real, lejos de la pantalla. Lea mi breve y básico ejemplo a continuación (y aquí hay algunos más para tener en cuenta Cómo protegerse de estos 8 ataques de ingeniería social Cómo protegerse de estos 8 ataques de ingeniería social ¿Qué técnicas de ingeniería social utilizaría un pirata informático y cómo protegería usted? ¿De ellos? Echemos un vistazo a algunos de los métodos de ataque más comunes. ¡Lea más!).
Una parte fundamental de cualquier auditoría de seguridad es evaluar lo que entiende toda la fuerza laboral. En este caso, una empresa de seguridad llamará por teléfono a la empresa que está auditando. los “agresor” le dice a la persona en el teléfono que son el nuevo equipo de soporte técnico de la oficina, y necesitan la contraseña más reciente para algo específico. Un individuo confiado puede entregar las llaves del reino sin una pausa para pensar.
Lo que da miedo es la frecuencia con la que esto funciona. La ingeniería social ha existido durante siglos. Ser duplicado para poder ingresar al área segura es un método común de ataque, y que solo está protegido contra la educación. Esto se debe a que el ataque no siempre pedirá directamente una contraseña. Podría ser un plomero o electricista falso que solicita la entrada a un edificio seguro, y así sucesivamente..
Pros: Los ingenieros sociales capacitados pueden extraer información de alto valor de una variedad de objetivos. Puede ser desplegado contra casi cualquier persona, en cualquier lugar. Extremadamente sigiloso.
Contras: un fallo puede despertar sospechas de un ataque inminente, incertidumbre sobre si se obtiene la información correcta.
Mantente a salvo por: esta es una trampa Un ataque de ingeniería social exitoso se completará cuando se dé cuenta de que algo está mal. La educación y la concientización sobre la seguridad son una táctica central de mitigación. Evite publicar información personal que luego pueda ser usada en su contra..
5. Mesa arcoiris
Una tabla de arco iris es generalmente un ataque de contraseña sin conexión. Por ejemplo, un atacante ha adquirido una lista de nombres de usuario y contraseñas, pero están cifrados. La contraseña encriptada está en hash Todos los sitios web seguros lo hacen con su contraseña Todos los sitios web seguros lo hacen con su contraseña ¿Alguna vez se ha preguntado cómo los sitios web mantienen su contraseña a salvo de violaciones de datos? Lee mas . Esto significa que se ve completamente diferente de la contraseña original. Por ejemplo, su contraseña es (¡espero que no!) Logmein. El hash MD5 conocido para esta contraseña es “8f4047e3233b39e4444e1aef240e80aa.”
Entregamos a usted y a mí. Pero en ciertos casos, el atacante ejecutará una lista de contraseñas de texto simple a través de un algoritmo de hash, comparando los resultados con un archivo de contraseña cifrado. En otros casos, el algoritmo de cifrado es vulnerable, y la mayoría de las contraseñas ya están crackeadas, como MD5 (por lo tanto, sabemos por qué el hash específico para “logmein.”
Esto donde la mesa del arco iris realmente entra en su propio. En lugar de tener que procesar cientos de miles de contraseñas potenciales y hacer coincidir su hash resultante, una tabla de arco iris es un conjunto enorme de valores de hash específicos de algoritmos precomputados. Usar una tabla de arco iris disminuye drásticamente el tiempo que toma descifrar una contraseña con hash, pero no es perfecto. Los piratas informáticos pueden comprar mesas de arco iris prellenadas con millones de combinaciones posibles.
Pros: puede descifrar una gran cantidad de contraseñas difíciles en un corto período de tiempo, otorga a los piratas informáticos una gran cantidad de poder sobre ciertos escenarios de seguridad.
Contras: requiere una gran cantidad de espacio para almacenar la enorme tabla de arco iris (a veces terabytes). Además, los atacantes están limitados a los valores contenidos en la tabla (de lo contrario, tienen que agregar otra tabla completa).
Mantente a salvo por: este es un truco Las mesas de arco iris ofrecen una amplia gama de posibilidades de ataque. Evite los sitios que utilizan SHA1 o MD5 como algoritmo de hash de contraseña. Evite cualquier sitio que lo limite a contraseñas cortas, o restrinja los caracteres que puede usar. Siempre usa una contraseña compleja.
6. Malware / Keylogger
Otra forma segura de perder sus credenciales de inicio de sesión es no caer en el malware. El malware está en todas partes, con el potencial de causar daños masivos. Si la variante de malware tiene un keylogger, su computadora portátil HP puede estar registrando cada una de las pulsaciones de su computadora portátil HP puede estar registrando cada una de las pulsaciones de su teclado. tu disco duro Lo cual es bueno. Leer más, usted podría encontrar todos de sus cuentas comprometidas.
Alternativamente, el malware podría dirigirse específicamente a datos privados o introducir un troyano de acceso remoto para robar sus credenciales.
Pros: Miles de variantes de malware, algunas personalizables, con varios métodos de entrega fáciles. Es muy probable que un alto número de objetivos sucumbirá a al menos una variante. Puede pasar desapercibido, lo que permite una mayor recolección de datos privados y credenciales de inicio de sesión.
Contras: posibilidad de que el malware no funcione, o se ponga en cuarentena antes de acceder a los datos, no garantiza que los datos sean útiles
Mantente a salvo por: instalando y actualizando periódicamente su software antivirus y antimalware. Cuidadosamente considerando las fuentes de descarga. No hacer clic en los paquetes de instalación que contienen paquetes, y más. Manténgase alejado de los sitios infames (lo sé, más fácil decirlo que hacerlo). Utilice herramientas de bloqueo de secuencias de comandos para detener secuencias de comandos maliciosas.
7. Spidering
Lazos de araña en el ataque de diccionario que cubrimos anteriormente. Si un pirata informático está apuntando a una institución o negocio específico, puede probar una serie de contraseñas relacionadas con el negocio en sí. El pirata informático podría leer y compilar una serie de términos relacionados, o utilizar una araña de búsqueda para hacer el trabajo por ellos..
Es posible que hayas oído el término “araña” antes de. Estas arañas de búsqueda son extremadamente similares a las que rastrean a través de Internet, indexando el contenido de los motores de búsqueda. La lista de palabras personalizadas se usa luego en las cuentas de usuario con la esperanza de encontrar una coincidencia.
Pros: potencialmente puede desbloquear cuentas para personas de alto rango dentro de una organización. Relativamente fácil de armar, y agrega una dimensión adicional a un ataque de diccionario.
Contras: podría muy bien resultar infructuoso si la seguridad de la red organizativa está bien configurada.
Mantente a salvo por: nuevamente, solo use contraseñas seguras de un solo uso compuestas de cadenas aleatorias, nada que se vincule con su persona, empresa, organización, etc..
Fuerte, único, de un solo uso
Entonces, ¿cómo detienes a un hacker robando tu contraseña? La respuesta realmente corta es que realmente no puedes estar 100% seguro. Las herramientas que los piratas informáticos utilizan para robar sus datos Malware modular: el nuevo ataque sigiloso Robo de sus datos Malware modular: el nuevo ataque sigiloso Robo de sus datos El malware es cada vez más difícil de detectar. ¿Qué es el malware modular y cómo lo detiene, causando estragos en su PC? Leer más están cambiando todo el tiempo. Pero tu puede mitigar su exposición a la vulnerabilidad.
Una cosa es segura: el uso de contraseñas fuertes y únicas de un solo uso nunca hace daño a nadie, y han seguro Salvado ayudado, en más de una ocasión..
Aprender a ser un hacker Los 6 mejores sitios web para aprender a hackear como un profesional Los 6 mejores sitios web para aprender a hackear como un profesional ¿Quieres aprender a hackear? Estos sitios web informativos lo pondrán al día y lo ayudará a mejorar sus habilidades de piratería. Leer más también puede ser una buena manera de entender cómo funcionan los piratas informáticos y le permitirá protegerse.
¿Cuál es su rutina de protección de contraseña? ¿Siempre usas contraseñas fuertes de un solo uso? ¿Cuál es su administrador de contraseñas de elección? Déjanos saber tus pensamientos abajo!
Crédito de la imagen: SergeyNivens / Depositphotos
Explorar más sobre: Privacidad en línea, Contraseña.