• Fecha: Mar 08, 2011
  • Comentarios: no hay comentarios
  • Categorias: Sin categoría

Existe algo conocido como Brute Force Password Attack. Es una técnica usada desde hace muchos años para poder por un lado obtener acceso no autorizado a algún sistema, y en cómputo forense para poder acceder a a información que sirva para alguna investigación digital.

Los sistemas que llevan a cabo la tarea son en realidad generadores de contraseñas cuyos algoritmos se basan, en algunos casos en los comportamientos más usuales de los usuarios, que integran diccionarios y que empiezan a mezclar y hacer combinaciones de letras, números, palabras y signos especiales.

Cuando uno tiene o desarrolla un sistema es importante tomar en cuenta este tipo de herramientas y ataques y protegerse de la mejor forma. Aquí algunos tips:

1. Protégete a través de tus propias interfases gráficas: Usa captchas, demoras programadas, «jump pages», «two way challenge» e incluso el bloqueo de cuentas después de cierto número de intentos fallidos.

2. Usa «licuadoras» y algoritmos de hashing que sean lentos. De este modo si tu información se vulneró y el ataque de fuerza bruta se está llevando a cabo fuera de línea el descifrado de contraseñas tardará demasiado tiempo para ser «rentable» al atacante.

3. Evita MD, MD5, SHA1 y algoritmos de hashing similares que al ser desarrollados para cifrar y descifrar largas cantidades de información suelen ser más rápidos de vulnerar. Utiliza tecnologías tipo bcrypt que tardan algunos cientos de milisegundos en cada cifrado o descifrado, lo que lo hace casi imposible de romper a través de ataques brute force, aún con cómputo distribuído y offline.

4. Evita permitir contraseñas con sólo letras y sólo minúsculas. Haz que sea obligatorio el uso de al menos una mayúscula, un número y un símbolo especial. Aplica un mínimo de tamaño de contraseña.

5. Ten cuidado de los parámetros que se pasan en el URL. Si pasas el nombre de usuario, por ejemplo y quizá hasta la la contraseña con MD5 es más vulnerable tu sitio a un ataque de brute force con un script automatizado.

¿Tienen más sugerencias para mejorar la seguridad de un sitio ante amenazas de este tipo?

Compartir:

No Comments Yet.

Deja un comentario

Your email address will not be published.