Ataques de diccionario

Un ataque de diccionario es un método de cracking que consiste en intentar averiguar una contraseña probando todas las palabras del diccionario. Este tipo de ataque suele ser más eficiente que un ataque de fuerza bruta, ya que muchos usuarios suelen utilizar una palabra existente en su lengua como contraseña para que la clave sea fácil de recordar, lo cual no es una práctica recomendable.

Los ataques de diccionario tienen pocas probabilidades de éxito con sistemas que emplean contraseñas fuertes con letras en mayúsculas y minúsculas mezcladas con números (alfanuméricos) y con cualquier otro tipo de símbolos. Sin embargo, para la mayoría de los usuarios recordar contraseñas tan complejas resulta complicado. Existen variantes que comprueban también algunas de las típicas sustituciones (determinadas letras por números, intercambio de dos letras, abreviaciones), así como distintas combinaciones de mayúsculas y minúsculas.

Una práctica bastante habitual para usar contraseñas que sean fáciles de recordar y a la vez no sean vulnerables a los ataques de diccionario es tomar las iniciales de todas las palabras de una oración que tenga algún significado especial para nosotros. Por ejemplo, si tomamos la frase “Mi primera bicicleta fue una BH210 que me regaló mi abuelo Francisco”, la contraseña resultante sería la siguiente: MpbfuBH210qmrmaF. Esta contraseña mezcla letras y números, que con sus 16 caracteres es relativamente larga, y sería bastante difícil de romper mediante un ataque de fuerza bruta, suponiendo que el algoritmo de cifrado elegido sea lo suficientemente seguro. Sin embargo, para el usuario en cuestión seguramente sea bastante fácil de recordar.

Otra solución habitual para no tener que memorizar un número elevado de contraseñas complejas es utilizar un gestor de contraseñas. Estos programas también nos pueden ayudar a generar contraseñas seguras.


Ataques de fuerza bruta

En criptografía, se denomina ataque de fuerza bruta a la forma de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso.

Dicho de otro modo, define al procedimiento por el cual a partir del conocimiento del algoritmo de cifrado empleado y de un par texto claro/texto cifrado, se realiza el cifrado (respectivamente, descifrado) de uno de los miembros del par con cada una de las posibles combinaciones de clave, hasta obtener el otro miembro del par. El esfuerzo requerido para que la búsqueda sea exitosa con probabilidad mejor que la par será  {\displaystyle 10^{n}-1} operaciones, donde n es la longitud de la clave (también conocido como el espacio de claves).

Otro factor determinante en el coste de realizar un ataque de fuerza bruta es el juego de caracteres que se pueden utilizar en la clave. Contraseñas que sólo utilicen dígitos numéricos serán más fáciles de descifrar que aquellas que incluyen otros caracteres como letras, así como las que están compuestas por menos caracteres serán también más fáciles de descifrar, la complejidad impuesta por la cantidad de caracteres en una contraseña es logarítmica.

Los ataques por fuerza bruta, dado que utilizan el método de prueba y error, son muy costosos en tiempo computacional.

La fuerza bruta suele combinarse con un ataque de diccionario, en el que se encuentran diferentes palabras para ir probando con ellas.


Programas

Medusa (Linux) es un software para atacar a nivel de fuerza bruta basándonos en diccionarios de palabras, es muy estable, sencillo, rápido y nos permitirá realizar el ataque a muchos servicios.

Fuente: http://rootear.com/ubuntu-linux/ataques-de-fuerza-bruta

Hydra (Linux) es un programa que nos permite realizar ataques de fuerza bruta con diccionario la cual nos posibilita el poder jugar con ella para intentar acceder a otros sistemas y automatizar intentos de login. Esta herramienta la podemos encontrar en la distribución de Kali o bien descargarla de su repositorio https://www.thc.org/thc-hydra/ donde tendremos la última versión disponible

Fuente: https://www.taringa.net/post/linux/17893769/Hydra-para-ataques-de-fuerza-bruta.html

Más programas en http://sr.wondershare.com/password/password-cracker-tools.html


Diccionarios

Páginas desde donde descargar diccionarios ya creados

https://www.renderlab.net/projects/WPA-tables/

 

Coleccion de diccionarios en español para realizar ataques de Fuerza bruta

https://www.sophos.com/es-es/security-news-trends/security-trends/threatsaurus.aspx

Creando un diccionario para realizar fuerza bruta – John The Ripper

Anuncios