Pagina principal Seguridad Las 7 tácticas más comunes utilizadas para hackear contraseñas

Las 7 tácticas más comunes utilizadas para hackear contraseñas

  • Michael Cain
  • 0
  • 1963
  • 465
Anuncio

Cuando escuches “violación de la seguridad,” ¿Qué te viene a la mente? Un hacker malévolo sentado frente a las pantallas con Matriz ¿Transmisión de texto digital? ¿O un adolescente que vive en el sótano y que no ha visto la luz del día en tres semanas? ¿Qué tal una poderosa supercomputadora que intenta hackear el mundo entero??

La realidad es que todas esas situaciones pueden resumirse en una simple faceta: la humilde pero vital contraseña. Si alguien tiene tu contraseña, esencialmente se acabó el juego. Si su contraseña es demasiado corta o fácil de adivinar, se acabó el juego. Y cuando hay una violación de seguridad, puedes adivinar lo que las personas nefastas buscan en la red oscura. Está bien. Tu contraseña.

Hay siete tácticas comunes utilizadas para hackear contraseñas. Vamos a ver.

1. Diccionario

Lo primero en la guía de tácticas de piratería de contraseñas comunes es el ataque al diccionario. ¿Por qué se llama ataque de diccionario? Porque intenta automáticamente cada palabra en un definido “diccionario” contra la contraseña El diccionario no es estrictamente el que usaste en la escuela.

No. Este diccionario es en realidad un archivo pequeño que también contendrá las combinaciones de contraseña más utilizadas. Eso incluye 123456, qwerty, contraseña, mynoob, princesa, béisbol y clásico de todos los tiempos, hunter2.

Pros: rápido, generalmente se desbloqueará algunos cuentas lamentablemente protegidas.

Contras: incluso las contraseñas ligeramente más seguras permanecerán seguras.

Manténgase a salvo por: use una contraseña segura de un solo uso para cada cuenta, junto con una aplicación de administración de contraseñas. (Esto también lo protegerá contra la aplicación de contraseñas). El administrador de contraseñas le permite almacenar sus otras contraseñas en un repositorio. Luego, puede usar una contraseña única y ridículamente segura para cada sitio. Vea nuestra descripción general del Administrador de contraseñas de Google Administrador de contraseñas de Google: 7 cosas que debe saber Administrador de contraseñas de Google: 7 cosas que debe saber ¿Busca un administrador de contraseñas? Aquí le explicamos por qué debería ser simple y confiar en el Administrador de contraseñas de Google Chrome. para empezar con eso.

2. Fuerza bruta

A continuación, consideramos un ataque de fuerza bruta, mediante el cual un atacante intenta todas las combinaciones posibles de personajes. Las contraseñas intentadas coincidirán con las especificaciones de las reglas de complejidad, p. incluyendo una mayúscula, una minúscula, decimales de Pi, su pedido de pizza, etc..

Un ataque de fuerza bruta también probará primero las combinaciones de caracteres alfanuméricos más comunes. Estos incluyen las contraseñas mencionadas anteriormente, así como 1q2w3e4r5t, zxcvbnm y qwertyuiop.

Pros: teóricamente descifrará la contraseña al intentar cada combinación.

Contras: dependiendo de la longitud y la dificultad de la contraseña, puede llevar mucho tiempo. Agregue algunas variables como $, &, o], y la tarea se vuelve extremadamente difícil.

Manténgase a salvo por: siempre use una combinación variable de caracteres y, cuando sea posible, introduzca símbolos adicionales para aumentar la complejidad 6 consejos para crear una contraseña irrompible que pueda recordar 6 consejos para crear una contraseña irrompible que pueda recordar Si sus contraseñas no son únicas e irrompibles, puede también abra la puerta principal e invite a los ladrones a almorzar. .

3. Phishing

Esto no es estrictamente un “cortar,” pero caer presa de un intento de phishing o phishing generalmente terminará mal. Correo electrónico de phishing general enviado por miles de millones a todo tipo de usuarios de Internet en todo el mundo.

Un correo electrónico de phishing generalmente funciona así:

  1. El usuario objetivo recibe un correo electrónico falsificado que pretende ser de una organización o empresa importante
  2. El correo electrónico falsificado requiere atención inmediata, con un enlace a un sitio web
  3. El enlace al sitio web en realidad se vincula a un portal de inicio de sesión falso, simulado para aparecer exactamente igual que el sitio legítimo
  4. El usuario objetivo desprevenido ingresa sus credenciales de inicio de sesión, y es redirigido o se le dice que intente nuevamente
  5. Las credenciales de usuario son robadas, vendidas o utilizadas de manera nefasta (¡o ambas!).

A pesar de que algunas botnets extremadamente grandes se desconectaron durante 2016, a finales de año la distribución de spam se había cuadruplicado [IBM X-Force PDF, Registro]. Además, los archivos adjuntos maliciosos aumentaron a una velocidad incomparable, según la imagen a continuación.

Y, según el Informe de amenazas de Internet de Symantec 2017, las facturas falsas son el señuelo de phishing # 1.

Pros: el usuario literalmente entrega su información de inicio de sesión, incluida la contraseña. Tasa de éxito relativamente alta, adaptada fácilmente a servicios específicos (las ID de Apple son el objetivo número 1).

Contras: los correos electrónicos no deseados se filtran fácilmente y los dominios no deseados se ponen en la lista negra.

Manténgase a salvo por: hemos cubierto cómo detectar un correo electrónico de phishing Cómo detectar un correo electrónico de phishing Cómo detectar un correo electrónico de phishing ¡Capturar un correo electrónico de phishing es difícil! Los estafadores se hacen pasar por PayPal o Amazon, tratando de robar su contraseña y la información de su tarjeta de crédito, su engaño es casi perfecto. Te mostramos cómo detectar el fraude. . Además, aumente su filtro de spam a su configuración más alta o, mejor aún, use una lista blanca proactiva. Use un verificador de enlaces para determinar 7 sitios rápidos que le permiten verificar si un enlace es seguro 7 sitios rápidos que le permiten verificar si un enlace es seguro Antes de hacer clic en un enlace, use estos verificadores de enlace para verificar que no conduzca a malware o Otras amenazas de seguridad. si un enlace de correo electrónico es legítimo antes de hacer clic.

4. Ingeniería social

La ingeniería social es algo similar al phishing en el mundo real, lejos de la pantalla. Lea mi breve ejemplo básico a continuación (y aquí hay más para ver cómo protegerse de estos 8 ataques de ingeniería social Cómo protegerse de estos 8 ataques de ingeniería social) Qué técnicas de ingeniería social usaría un hacker y cómo protegería usted mismo de ellos? Echemos un vistazo a algunos de los métodos de ataque más comunes.!).

Una parte central de cualquier auditoría de seguridad es medir lo que entiende toda la fuerza laboral. En este caso, una compañía de seguridad llamará por teléfono al negocio que está auditando. los “agresor” le dice a la persona por teléfono que es el nuevo equipo de soporte técnico de la oficina y que necesita la contraseña más reciente para algo específico. Un individuo desprevenido puede entregar las llaves del reino sin una pausa para pensar.

Lo que da miedo es con qué frecuencia esto realmente funciona. La ingeniería social ha existido durante siglos. Ser duplicado para obtener acceso a un área segura es un método común de ataque, y solo se protege contra la educación. Esto se debe a que el ataque no siempre pedirá directamente una contraseña. Podría ser un fontanero o electricista falso que solicita la entrada a un edificio seguro, etc..

Pros: ingenieros sociales calificados pueden extraer información de alto valor de una variedad de objetivos. Se puede implementar contra casi cualquier persona, en cualquier lugar. Extremadamente sigiloso.

Contras: una falla puede generar sospechas sobre un ataque inminente, incertidumbre sobre si se obtiene la información correcta.

Mantente a salvo por: esto es complicado. Un ataque de ingeniería social exitoso estará completo cuando se dé cuenta de que algo está mal. La educación y la conciencia de seguridad son una táctica central de mitigación. Evite publicar información personal que luego pueda ser usada en su contra.

5. Mesa arcoiris

Una tabla de arco iris suele ser un ataque de contraseña sin conexión. Por ejemplo, un atacante ha adquirido una lista de nombres de usuario y contraseñas, pero están encriptados. La contraseña cifrada está cifrada. Todos los sitios web seguros hacen esto con su contraseña Todos los sitios web seguros hacen esto con su contraseña ¿Se ha preguntado alguna vez cómo los sitios web mantienen su contraseña a salvo de violaciones de datos? . Esto significa que se ve completamente diferente de la contraseña original. Por ejemplo, su contraseña es (¡espero que no!) Logmein. El hash MD5 conocido para esta contraseña es “8f4047e3233b39e4444e1aef240e80aa.”

Sobresaliente para usted y para mí. Pero en ciertos casos, el atacante ejecutará una lista de contraseñas de texto sin formato a través de un algoritmo de hash, comparando los resultados con un archivo de contraseña cifrado. En otros casos, el algoritmo de cifrado es vulnerable y la mayoría de las contraseñas ya están descifradas, como MD5 (de ahí por qué conocemos el hash específico para “logmein.”

Aquí es donde la mesa del arco iris realmente entra en juego. En lugar de tener que procesar cientos de miles de contraseñas potenciales y hacer coincidir su hash resultante, una tabla arcoiris es un gran conjunto de valores de hash específicos de algoritmos precalculados. Usar una tabla de arco iris disminuye drásticamente el tiempo que lleva descifrar una contraseña cifrada, pero no es perfecta. Los piratas informáticos pueden comprar tablas de arco iris precargadas con millones de combinaciones potenciales.

Pros: puede descifrar una gran cantidad de contraseñas difíciles en un corto período de tiempo, otorga a los piratas informáticos un gran poder sobre ciertos escenarios de seguridad.

Contras: requiere una gran cantidad de espacio para almacenar la enorme mesa de arcoiris (a veces terabytes). Además, los atacantes están limitados a los valores contenidos en la tabla (de lo contrario, deben agregar otra tabla completa).

Manténgase a salvo por: Esta es una complicada. Las mesas Rainbow ofrecen una amplia gama de posibilidades de ataque. Evite los sitios que usan SHA1 o MD5 como algoritmo de hash de contraseña. Evite cualquier sitio que lo limite a contraseñas cortas o restrinja los caracteres que puede usar. Siempre use una contraseña compleja.

Preguntándose cómo saber si un sitio web realmente almacena contraseñas en texto sin formato Cómo saber si un sitio almacena contraseñas como texto sin formato (y qué hacer) Cómo saber si un sitio almacena contraseñas como texto sin formato (y qué hacer) al enviar su contraseña a un sitio web, no siempre se hace de forma segura. Esto es lo que debe saber sobre las contraseñas de texto sin formato. ? Echa un vistazo a esta guía para descubrir.

6. Malware / Keylogger

Otra forma segura de perder sus credenciales de inicio de sesión es fallar en el malware. El malware está en todas partes, con el potencial de causar daños masivos. Si la variante de malware presenta un keylogger, podría encontrar todos de sus cuentas comprometidas.

Haber de imagen: welcomia / Depositphotos

Alternativamente, el malware podría apuntar específicamente a datos privados, o introducir un troyano de acceso remoto para robar sus credenciales.

Pros: miles de variantes de malware, algunas personalizables, con varios métodos de entrega fáciles. Buena probabilidad de que un gran número de objetivos sucumban a al menos una variante. Puede pasar desapercibido, lo que permite una mayor recolección de datos privados y credenciales de inicio de sesión.

Contras: posibilidad de que el malware no funcione o esté en cuarentena antes de acceder a los datos, no hay garantía de que los datos sean útiles

Mantente a salvo por: instalación y actualización periódica de su software antivirus y antimalware. Considerando cuidadosamente las fuentes de descarga. No hacer clic en los paquetes de instalación que contienen paquetes y más. Manténgase alejado de los sitios nefastos (lo sé, es más fácil decirlo que hacerlo). Utilice herramientas de bloqueo de guiones para detener guiones maliciosos.

7. Arañazos

Lazos de araña en el ataque del diccionario que cubrimos anteriormente. Si un pirata informático se dirige a una institución o empresa específica, puede probar una serie de contraseñas relacionadas con la empresa misma. El hacker podría leer y cotejar una serie de términos relacionados, o usar una araña de búsqueda para hacer el trabajo por ellos..

Es posible que hayas escuchado el término “araña” antes de. Estas arañas de búsqueda son extremadamente similares a las que se arrastran por Internet, indexando contenido para motores de búsqueda. La lista de palabras personalizada se usa contra las cuentas de los usuarios con la esperanza de encontrar una coincidencia..

Pros: potencialmente puede desbloquear cuentas para individuos de alto rango dentro de una organización. Relativamente fácil de armar, y agrega una dimensión extra a un ataque de diccionario.

Contras: bien podría terminar sin éxito si la seguridad de la red organizacional está bien configurada.

Manténgase a salvo por: de nuevo, solo use contraseñas seguras y de un solo uso compuestas de cadenas aleatorias, nada que se vincule a su persona, negocio, organización, etc..

Fuerte, único, de un solo uso

Entonces, ¿cómo evitas que un hacker te robe tu contraseña? La respuesta realmente corta es que realmente no puedes estar 100% seguro. Las herramientas que usan los hackers para robar sus datos cambian todo el tiempo, como el uso del volcado de credenciales ¿Qué es el volcado de credenciales? Protéjase con estos 4 consejos ¿Qué es el volcado de credenciales? Protéjase con estos 4 consejos Los hackers tienen una nueva arma: la eliminación de credenciales. ¿Qué es? ¿Cómo puede evitar que sus cuentas se vean comprometidas? . Pero tu poder mitigar su exposición a la vulnerabilidad.

Una cosa es segura: el uso de contraseñas seguras y únicas de un solo uso nunca hace daño a nadie, y han seguro ayudó, en más de una ocasión.

Aprenda a ser un pirata informático Aprenda a piratear con los 6 mejores sitios web y tutoriales de piratas informáticos. Nuestro artículo explica qué sitios son los mejores y por qué. También puede ser una buena manera de entender cómo funcionan los piratas informáticos y le permitirá protegerse!

Haber de imagen: SergeyNivens / Depositphotos




Nadie ha comentado sobre este artículo todavía.

Mira películas en 3D para aumentar tu poder mental
Entretenimiento
Las canciones más relajantes de todos los tiempos, según la ciencia
Entretenimiento
Use recetas IFTTT para mejorar su experiencia de Spotify
Entretenimiento
Sobre tecnología moderna, simple y asequible.
Tu guía en el mundo de la tecnología moderna. Aprenda a usar las tecnologías y los dispositivos que nos rodean todos los días y aprenda a descubrir cosas interesantes en Internet.