Protegiéndose contra ataques de Brute Force para obtener contraseñas .

 

Escrito por MaTTica el marzo 8, 2011

Existe algo conocido como Brute Force Password Attack. Es una técnica usada desde hace muchos años para poder por un lado obtener acceso no autorizado a algún sistema, y en cómputo forense para poder acceder a a información que sirva para alguna investigación digital.

Los sistemas que llevan a cabo la tarea son en realidad generadores de contraseñas cuyos algoritmos se basan, en algunos casos en los comportamientos más usuales de los usuarios, que integran diccionarios y que empiezan a mezclar y hacer combinaciones de letras, números, palabras y signos especiales.

Cuando uno tiene o desarrolla un sistema es importante tomar en cuenta este tipo de herramientas y ataques y protegerse de la mejor forma. Aquí algunos tips:

1. Protégete a través de tus propias interfases gráficas: Usa captchas, demoras programadas, “jump pages”, “two way challenge” e incluso el bloqueo de cuentas después de cierto número de intentos fallidos.

2. Usa “licuadoras” y algoritmos de hashing que sean lentos. De este modo si tu información se vulneró y el ataque de fuerza bruta se está llevando a cabo fuera de línea el descifrado de contraseñas tardará demasiado tiempo para ser “rentable” al atacante.

3. Evita MD, MD5, SHA1 y algoritmos de hashing similares que al ser desarrollados para cifrar y descifrar largas cantidades de información suelen ser más rápidos de vulnerar. Utiliza tecnologías tipo bcrypt que tardan algunos cientos de milisegundos en cada cifrado o descifrado, lo que lo hace casi imposible de romper a través de ataques brute force, aún con cómputo distribuído y offline.

4. Evita permitir contraseñas con sólo letras y sólo minúsculas. Haz que sea obligatorio el uso de al menos una mayúscula, un número y un símbolo especial. Aplica un mínimo de tamaño de contraseña.

5. Ten cuidado de los parámetros que se pasan en el URL. Si pasas el nombre de usuario, por ejemplo y quizá hasta la la contraseña con MD5 es más vulnerable tu sitio a un ataque de brute force con un script automatizado.

fuente: http://mattica.com/

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: