Como se proteger contra ataques de dicionário de senha Como usar Git Hooks para automação de commits Como atualizar contêineres do Docker para aplicar atualizações de imagem Como monitorar Kubernetes com o painel oficial Como corrigir um “HEAD desanexado” em um repositório Git? Qual é a diferença entre COPY e ADD em Dockerfiles? Como pesquisar alterações recentes do Git Commit


0
senha no dicionário
Contimis Works / Shutterstock.com

Os ataques de dicionário ameaçam a segurança de suas redes e plataformas. Eles tentam comprometer uma conta de usuário, gerando uma senha correspondente. Aprenda como eles funcionam e como vencê-los.

Ataques de dicionário

As contas de usuário em sistemas de computador, sites e serviços hospedados precisam ser protegidas contra acesso não autorizado. A autenticação do usuário é a maneira mais comum de fazer isso. Os usuários recebem um ID de usuário exclusivo – para contas online, geralmente é o endereço de e-mail – e uma senha. Esses dois bits de informação devem ser fornecidos, verificados e verificados antes que o usuário possa acessar a conta.

Os ataques de dicionário são uma família de ataques cibernéticos que compartilham uma técnica de ataque comum. Eles usam listas longas – às vezes bancos de dados inteiros – de palavras e um pedaço de software. O software lê cada palavra da lista por vez e tenta usá-la como senha para a conta sob ataque. Se uma das palavras da lista corresponder à senha genuína, a conta estará comprometida.

Esses ataques diferem do tipo de ataque de força bruta mais primitivo. Ataques de força bruta tentam combinações aleatórias de letras e caracteres na esperança de que encontrem a senha por acaso e boa sorte. Esses ataques são ineficientes. Eles são demorados e intensivos em termos de computação.

O esforço necessário para quebrar uma senha aumenta enormemente com cada letra extra que você adiciona à sua senha. Existem ordens de magnitude mais combinações em uma senha de oito caracteres do que em uma senha de cinco caracteres. Não há garantia de que um ataque de força bruta terá sucesso. Mas com ataques de dicionário, se uma das entradas da lista corresponder à sua senha, o ataque acabará tendo sucesso.

Propaganda

Obviamente, a maioria das redes corporativas impõem bloqueios automáticos de contas após um determinado número de tentativas de acesso malsucedidas. Muitas vezes, porém, os atores da ameaça começam com os sites corporativos, que costumam ter controles menos rigorosos sobre as tentativas de acesso. E se eles obtiverem acesso ao site, podem tentar essas credenciais na rede corporativa. Se o usuário reutilizou a mesma senha, os atores da ameaça agora estão em sua rede corporativa. Na maioria dos casos, o site ou portal não é o alvo real. É um posto de teste a caminho ao prêmio real do ator da ameaça – a rede corporativa

Obter acesso ao site permite que os agentes de ameaças injetem código malicioso que monitorará as tentativas de login e registrará as IDs de usuário e as senhas. Ele enviará as informações aos agentes da ameaça ou as registrará até que eles retornem ao site para coletá-las.

RELACIONADO: Como usar o Pass, um gerenciador de senhas de linha de comando para sistemas Linux

Não apenas palavras em um arquivo

Os primeiros ataques de dicionário foram apenas isso. Eles usaram palavras do dicionário. É por isso que “nunca use uma palavra do dicionário” fez parte da orientação sobre a escolha de uma senha forte.

Desconsiderar esse conselho e escolher uma palavra do dicionário de qualquer maneira e, em seguida, adicionar um dígito a ela para que não corresponda a uma palavra no dicionário, é tão ruim quanto. Os atores de ameaças que escrevem o software de ataque de dicionário são sábios quanto a isso. Eles desenvolveram uma nova técnica que experimenta cada palavra da lista, muitas vezes. A cada tentativa, alguns dígitos são adicionados ao final da palavra. Isso ocorre porque as pessoas geralmente usam uma palavra e acrescentam um dígito como 1, 2 e assim por diante, sempre que precisam alterar a senha.

Às vezes, eles adicionam um número de dois ou quatro dígitos para representar um ano. Pode representar um aniversário, aniversário, o ano em que seu time ganhou a taça ou algum outro evento significativo. Como as pessoas usam o nome de seus filhos ou outras pessoas significativas como senhas, as listas de dicionário foram expandidas para incluir nomes masculinos e femininos.

E o software evoluiu novamente. Esquemas que substituem letras por números, como 1 por “i”, 3 por “e”, 5 por “s” e assim por diante, não adicionam complexidade significativa à sua senha. O software conhece as convenções e também funciona por meio dessas combinações.

Propaganda

Hoje em dia, todas essas técnicas ainda são usadas, junto com outras listas que não contêm palavras padrão do dicionário. Eles contêm senhas reais.

De onde vêm as listas de senhas

O conhecido site Have I Been Pwned armazena uma coleção pesquisável de mais de 10 bilhões de contas comprometidas. Cada vez que ocorre uma violação de dados, os mantenedores do site tentam obter os dados. Se eles conseguem adquiri-lo, eles o adicionam aos seus bancos de dados.

Você pode pesquisar livremente seu banco de dados de endereços de e-mail. Se o seu endereço de e-mail for encontrado no banco de dados, você será informado sobre qual violação de dados vazou suas informações. Por exemplo, encontrei um dos meus antigos endereços de e-mail no Fui sacaneado base de dados. Ele vazou em uma violação do site do LinkedIn em 2016. Isso significa que minha senha desse site também foi violada. Mas, como todas as minhas senhas são exclusivas, tudo o que tive de fazer foi alterar a senha desse site.

Fui sacaneado tem um banco de dados separado para senhas. Você não pode combinar endereços de e-mail com senhas no Fui sacaneado site, por razões óbvias. Se você pesquisar sua senha e encontrá-la na lista, não significa necessariamente que a senha veio de uma de suas contas. Com 10 bilhões de contas violadas, haverá entradas duplicadas. O ponto interessante é que dizem a você o quão popular é essa senha. Você pensou que suas senhas eram exclusivas? Provavelmente não.

Mas se a senha no banco de dados veio de uma de suas contas ou não, se ela está no Fui sacaneado site vai ser listas de senhas usadas pelo software de ataque dos atores da ameaça. Não importa o quão misteriosa ou obscura seja sua senha. Se estiver nas listas de senhas, não é possível confiar nela – portanto, altere-a imediatamente.

RELACIONADO: Você foi hackeado? 10 indicadores que dizem sim

Variações de ataques de adivinhação de senha

Mesmo com ataques relativamente simples, como ataques de dicionário, o invasor pode usar algumas pesquisas simples para tentar tornar o trabalho do software mais fácil.

Propaganda

Por exemplo, eles podem se inscrever ou se inscrever parcialmente no site que desejam atacar. Eles então poderão ver as regras de complexidade de senha para esse site. Se o comprimento mínimo for de oito caracteres, o software pode ser configurado para iniciar em sequências de oito caracteres. Não faz sentido testar todas as cadeias de quatro, cinco, seis e sete caracteres. Se houver caracteres não permitidos, eles podem ser removidos do “alfabeto” que o software pode usar.

Aqui está uma breve descrição dos diferentes tipos de ataques baseados em listas.

  • Ataque de força bruta tradicional: Na verdade, este não é um ataque baseado em lista. Um pacote de software dedicado e criado para o propósito gera todas as combinações de letras, números e outros caracteres, como pontuação e símbolos, em cadeias de caracteres progressivamente mais longas. Ele tenta cada um como a senha da conta sob ataque. Se acontecer de gerar uma combinação de caracteres que corresponda à senha da conta sob ataque, essa conta será comprometida.
  • Ataque de dicionário: Um pacote de software dedicado e criado para o propósito pega uma palavra de cada vez em uma lista de palavras do dicionário e as tenta como senha contra a conta sob ataque. As transformações podem ser aplicadas às palavras do dicionário, como adicionar dígitos a elas e substituir letras por dígitos.
  • Ataque de procura de senha: Semelhante a um ataque de dicionário, mas as listas de palavras contêm senhas reais. O software automatizado lê uma senha por vez em uma enorme lista de senhas coletadas em violações de dados.
  • Ataque de busca inteligente de senha: Como um ataque de senha, mas as transformações de cada senha são tentadas, bem como a senha “nua”. As transformações emulam truques de senha comumente usados, como substituir vogais por dígitos.
  • Ataque API: Em vez de tentar quebrar a conta de um usuário, esses ataques usam software para gerar cadeias de caracteres que eles esperam que correspondam à chave de um usuário para uma interface de programação de aplicativo. Se eles conseguirem acessar a API, eles poderão explorá-la para exfiltrar informações confidenciais ou direitos autorais intelectuais.

Uma palavra sobre senhas

As senhas devem ser robustas, exclusivas e não relacionadas a nada que possa ser descoberto ou deduzido sobre você, como nomes de crianças. As frases de acesso são melhores do que as senhas. Três palavras não relacionadas unidas por alguma pontuação é um modelo muito forte para uma senha. Contra-intuitivamente, as frases secretas costumam usar palavras do dicionário, e sempre fomos alertados para não usar palavras do dicionário nas senhas. Mas combiná-los dessa forma cria um problema muito difícil para o software de ataque resolver.

Podemos usar o site Quão segura é minha senha para testar a força de nossas senhas.

  • cloudsavvyit: Tempo estimado para crack: três semanas.
  • cl0uds4vvy1t: Tempo estimado para crack: três anos.
  • trinta.penário .irder: Tempo estimado para quebrar: 41 quatrilhões de anos!

E não se esqueça da regra de ouro. As senhas devem ser usadas apenas em um sistema ou site. Eles nunca devem ser usados ​​em mais de um lugar. Se você usar senhas em mais de um sistema e um desses sistemas for violado, todos os sites e sistemas em que você usou essa senha estão em risco porque sua senha estará nas mãos dos agentes da ameaça – e em suas listas de senhas . Se sua senha leva 41 quatrilhões de anos para ser quebrada ou não, se estiver em suas listas de senhas, o tempo de quebra é completamente irrelevante.

Se você tem muitas senhas para lembrar, use um gerenciador de senhas.

RELACIONADO: Por que você deve usar um gerenciador de senhas e como começar

Como se proteger contra ataques de força bruta

Uma estratégia defensiva em camadas é sempre melhor. Nenhuma medida defensiva isolada vai torná-lo imune a ataques de dicionário, mas há uma série de medidas que você pode considerar que se complementarão e reduzirão muito o risco de você ser suscetível a esses ataques.

  • Ativar autenticação multifator sempre que possível. Isso traz algo físico que o usuário possui – como um telefone celular ou uma chave USB ou fob – para a equação. As informações que são enviadas para um aplicativo no telefone ou as informações no fob ou chave USB são incorporadas ao processo de autenticação. O ID do usuário e a senha por si só são insuficientes para obter acesso ao sistema.
  • Use senhas e frases secretas robustas que são únicos e armazenados com segurança de forma criptografada.
  • Crie e implemente uma política de senha que rege o uso, a proteção e a formulação aceitável de senhas. Apresente-o a todos os funcionários e torne-o obrigatório.
  • Limite as tentativas de login para um número baixo. Bloqueie a conta quando o número de tentativas malsucedidas for atingido ou bloqueie-a e forçar uma mudança de senha.
  • Habilitar captchas ou outras etapas secundárias de autenticação baseada em imagem. O objetivo deles é impedir bots e softwares de senha porque um ser humano tem que interpretar a imagem.
  • Considere usar um gerenciador de senhas. Um gerenciador de senhas pode gerar senhas complexas para você. Ele lembra qual senha está associada a qual conta, para que você não precise fazer isso. Um gerenciador de senhas é a maneira mais fácil de ter senhas exclusivas e de ferro fundido para cada conta que você precisa controlar.

RELACIONADO: Usando 2FA? Excelente. Mas não é infalível


Like it? Share with your friends!

0

What's Your Reaction?

hate hate
0
hate
confused confused
0
confused
fail fail
0
fail
fun fun
0
fun
geeky geeky
0
geeky
love love
0
love
lol lol
0
lol
omg omg
0
omg
win win
0
win

0 Comments

Your email address will not be published. Required fields are marked *

Choose A Format
Personality quiz
Series of questions that intends to reveal something about the personality
Trivia quiz
Series of questions with right and wrong answers that intends to check knowledge
Poll
Voting to make decisions or determine opinions
Story
Formatted Text with Embeds and Visuals
List
The Classic Internet Listicles
Countdown
The Classic Internet Countdowns
Open List
Submit your own item and vote up for the best submission
Ranked List
Upvote or downvote to decide the best list item
Meme
Upload your own images to make custom memes
Video
Youtube, Vimeo or Vine Embeds
Audio
Soundcloud or Mixcloud Embeds
Image
Photo or GIF
Gif
GIF format