Autenticación y ataques por diccionario


El par nombre de usuario y contraseña sigue
siendo el método de autenticación más utilizado para verificar la identidad de los usuarios y otorgarles los permisos oportunos. Así, los ataques por diccionario tratan de averiguar las contraseñas aprovechando la utilización de palabras comunes o previsibles.





Tanto en aplicaciones software, como en servicios web, el uso de contraseñas
está ampliamente extendido en los procesos de verificación de la identidad
para comprobar que el usuario es quién dice ser y si tiene acceso a recursos
o información privilegiada. Cuando el sistema no tiene vulnerabilidades
conocidas que permitan burlar el proceso de autenticación, una de las vías
de ataque consiste en llevar a cabo un proceso, manual o automático, que
compruebe una a una todas las posibles contraseñas almacenadas en un listado
al que se denomina diccionario.

Los ataques por diccionario realizados de forma manual raramente resultan
efectivos. Por ello, en la mayoría de las ocasiones, se utilizan programas o
scripts que automatizan el proceso de comprobación de las contraseñas.

Una de las medidas de prevención básica para este tipo de ataques se basa en
la elección de contraseñas robustas, de forma que no sean palabras comunes
que se encuentren en un diccionario o que puedan estar relacionadas con el
usuario (su nombre o el de su mascota, la fecha de nacimiento, la matrícula
de su automóvil, etc.). La elección de una contraseña robusta también puede
ser forzada desde la aplicación o servicio con algunas sencillas reglas,
tales como comprobar que tenga un mínimo número de caracteres, evitar que
sea igual al nombre de usuario, o requerir que tenga algunos dígitos o
caracteres especiales además de letras.

Por último, también es muy recomendable que la aplicación de autenticación
tenga un mecanismo de bloqueo en caso de detectar varios intentos fallidos
consecutivos, de forma que impida los ataques por diccionario. Este sistema
está muy implantado en sectores como la telefonía móvil o en los cajeros
automáticos, donde suele haber un límite de 3 intentos fallidos antes de
bloquear la cuenta de acceso.


Fuente: Oxygen3

Otras noticias de interés:

Microsoft soluciona 23 fallos de seguridad
Microsoft pulicó 7 boletines de seguridad que reparan 23 fallos, algunos críticos, que afectan a Microsoft Windows, Silverlight, Microsoft Office and.NET Framework....
El software de Apple es el más inseguro
Por mucho tiempo, un argumento a favor de Apple era que sus equipos y su software eran más seguros que lo que ofrecía la competencia. Sin embargo, las cosas no están andando tan bien en este sentido para la compañía de la manzanita, después de ...
Vulnerabilidad XSS en Google afecta a Google Docs
Se ha reportado otra vulnerabilidad del tipo XSS en Google, que permite la inyección de código en los documentos procesados en Google Docs. ...
Los usuarios de Firefox son los más seguros de la Web
Según un estudio encargado por el Instituto Federal de Tecnología de Suiza, en colaboración con Google e IBM, los usuarios del navegador Firefox se preocupan más por actualizar su software que los usuarios de otros navegadores....
Honeypots, monitorizando a los atacantes
Cómo se vigilan los nuevos métodos de ataque por Internet: los honeypots analizan y monitorizan los modos de ataque desde Internet en nuestros ordenadores. Consisten en ordenadores, o redes de ordenadores, que recaban información sobre ataques, de...
Videos documental sobre los Hackers
En youtube estan colocados 5 videos bastante interesantes, producción realizada por TVE...
La tendencia creciente a la movilidad exige a las empresas una visión estratégica del tema
Estamos en un mundo móvil, en el que el concepto de trabajo ha cambiado. Ya no es un lugar sino una función. Así abría Jaime García, analista de IDC, su intervención durante la presentación del estudio Movilidad corporativa 2008: el reto de la...
Java la manzana de la discordia en Venezuela
Hace poco más de un año Venezuela decretó que prohibía el uso de software propietario. Uno de los factores más controvertidos en la migración de los sistemas informáticos del estado venezolano es Java. ...
Gestión de passwords en navegadores (I)
Me ha impresionado bastante gratamente el artículo Password Management Concerns with IE and Firefox, que hoy publica Mikhael Felker en Security Focus, hasta el punto que espero con ansiedad que se publique, este próximo lunes, su segunda y última ...
EEUU plantea nuevas leyes para prevenir agujeros de datos
Las recientes brechas de datos sufridas por el servicio PlayStation de Sony y por el proveedor de servicios de correo electrónico Epsilon, han llevado a Estados Unidos a plantearse desarrollar una nueva legislación con el fin de mejorar la ciberseg...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • ataques
  • autenticacion
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • diccionario
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra