Que é un ataque de dicionario?

Para autenticarse nun sitio web, cómpre proporcionar un nome de usuario e un contrasinal. A continuación, o sitio verifica os detalles de autenticación que proporcionou comparándoos cos detalles que almacenou na súa base de datos. Se os detalles coinciden, concédese acceso. Se os detalles non coinciden, o acceso é denegado.

Desafortunadamente, as violacións de datos son unha ocorrencia relativamente común. As violacións de datos poden ser un gran problema porque un dos datos máis habitualmente dirixidos son os datos do usuario, concretamente a lista de nomes de usuario e contrasinais. Se os contrasinais só se almacenan como están, en texto plano, calquera persoa con acceso á base de datos poderá acceder á conta de calquera outro usuario. É coma se lles entregasen un chaveiro coa chave de cada porta dun edificio de vivendas.

Aínda que se fai moito esforzo para evitar violacións de datos en primeiro lugar, recoméndase unha estratexia de defensa en profundidade. En concreto, o consello de seguridade sostén que os contrasinais deben ser clasificados, gardando só o hash do contrasinal. Unha función hash é unha función unidireccional que sempre converte a mesma entrada na mesma saída. Non obstante, mesmo un cambio menor na entrada produce unha saída totalmente diferente. Criticamente, non hai forma de reverter a función e converter o hash saído de novo na entrada orixinal. O que podes facer, con todo, é hash unha nova entrada e ver se a saída coincide co hash almacenado na base de datos. Se é así, sabes o contrasinal coincidente, sen saber nunca o contrasinal real.

De xeito útil, isto tamén significa que se un atacante viola a base de datos, non recibe unha lista de contrasinais inmediatamente útiles, senón que reciben hash. Para poder usar estes hash necesitan ser crackeados.

Descifrar hash de contrasinais con intelixencia

Rachar un contrasinal hash é o proceso de determinar cal é o contrasinal orixinal que representa o hash. Porque non hai forma de reverter a función hash e converter o hash no contrasinal. A única forma de descifrar un hash é adiviñar o contrasinal. Un método é usar un ataque de forza bruta. Isto implica literalmente probar todos os contrasinais posibles. Isto significa comezar por "a", probar cada letra, en ambos os casos, e cada número e símbolo. Entón o atacante ten que probar todas as combinacións de dous caracteres, combinacións de tres caracteres, etc. O aumento das posibles combinacións de caracteres é exponencial cada vez que engades un personaxe. Isto dificulta adiviñar de forma eficiente contrasinais longos mesmo cando se usan algoritmos de hash rápido con potentes equipos de craqueo de GPU.

Pódese aforrar algo de esforzo mirando os requisitos de contrasinais do sitio e non probando contrasinais que serían demasiado curtos para permitirse ou que non contan cun número, por exemplo. Isto aforraría algo de tempo e aínda encaixa na clase dun ataque de forza bruta probando todos os contrasinais permitidos. Os ataques de forza bruta aínda que son lentos, se se deixan o tempo suficiente con moita potencia de procesamento, acabarán por romper calquera contrasinal xa que se probarán todas as combinacións posibles.

O problema dos ataques de forza bruta é que non son moi intelixentes. Un ataque de dicionario é unha variante moito máis dirixida. En lugar de probar calquera contrasinal posible, proba unha lista de contrasinais especificados. O éxito deste tipo de ataque depende da lista de contrasinais, e do dicionario en cuestión.

Facendo suposicións educadas

Os dicionarios de contrasinais adoitan crearse a partir de contrasinais previamente crackeados doutras violacións de datos. Estes dicionarios poden conter miles ou millóns de entradas. Isto baséase no concepto de que as persoas son malas para crear contrasinais únicos. Desafortunadamente, as probas das violacións de datos mostran que este tamén é o caso. A xente aínda usa variacións na palabra "contrasinal". Outros temas comúns son os equipos deportivos, os nomes das mascotas, os topónimos, os nomes das empresas, o odio do teu traballo e os contrasinais baseados na data. Este último adoita ocorrer específicamente cando a xente se ve obrigada a cambiar regularmente os seus contrasinais.

Usar un dicionario de contrasinais reduce enormemente o número de adiviñas que hai que facer en comparación cun ataque de forza bruta. Os dicionarios de contrasinais tamén tenden a conter contrasinais curtos e máis longos, o que significa que se poden probar algúns contrasinais que non se chegarían nin sequera con anos ou adiviñando con forza bruta. O enfoque tamén ten éxito. As estatísticas varían en función da violación dos datos e do tamaño e calidade do dicionario utilizado, pero as taxas de éxito poden superar o 70%.

As taxas de éxito pódense aumentar aínda máis cos algoritmos de manipulación de palabras. Estes algoritmos toman cada palabra no dicionario de contrasinais e logo modifícana un pouco. Estas modificacións adoitan ser substitucións de caracteres estándar e engadir números ou símbolos ao final. Por exemplo, é habitual que as persoas substitúan a letra "e" por un "3" e unha "s" por un "$" ou que engadan un signo de exclamación ao final. Os algoritmos de manipulación de palabras crean duplicados de cada entrada no dicionario de contrasinais. Cada duplicado ten unha variación diferente destas substitucións de caracteres. Isto aumenta significativamente o número de contrasinais para adiviñar e tamén aumenta a taxa de éxito, nalgúns casos por encima do 90%.

Conclusión

Un ataque de dicionario é unha variación dirixida a un ataque de forza bruta. En lugar de intentar todas as combinacións de caracteres posibles, probáse un subconxunto de combinacións de caracteres. Este subconxunto é unha lista de contrasinais que se atoparon con anterioridade e, se é necesario, se romperon en violacións de datos anteriores. Isto reduce enormemente o número de adiviñas que se deben facer ao cubrir contrasinais que se usaron antes e, nalgúns casos, que se viron con frecuencia. Un ataque de dicionario non ten unha taxa de éxito tan alta como un ataque de forza bruta. Iso, non obstante, supón que tes tempo e poder de procesamento ilimitados. Un ataque de dicionario tende a obter unha taxa de éxito decentemente alta moito máis rápido que un ataque de forza bruta. Isto débese a que non perde o tempo en combinacións extremadamente improbables de personaxes.

Unha das principais cousas que debes facer cando creas un contrasinal é asegurarte de que non apareza nunha lista de palabras. Unha forma de facelo é crear un contrasinal complexo, outra é facer un contrasinal longo. Xeralmente, a mellor opción é facer un contrasinal longo composto por poucas palabras. Só é importante que esas palabras non formen unha frase real como se podería adiviñar. Deberían estar completamente alleos. Recoméndase que escolla un contrasinal de máis de 10 caracteres con 8 como mínimo absoluto.