Hoy por hoy, es muy común que tengamos un montón de cuentas de usuario de muchos servicios web de internet. Una cuenta para Hotmail, una cuenta para Tuenti, una cuenta para Facebook… Para acordarse de cada una de ellas, lo que hace muchísima gente es emplear contraseñas sencillas y cortas, y probablemente la misma para distintas cuentas.
¿Cuál es el problema?
El uso de contraseñas sencillas y cortas puede ser aprovechado por un atacante que quiera averiguar nuestra contraseña y acceder a nuestra cuenta.
¿Cómo?
A través de los ataques por fuerza bruta. Para explicar qué son los ataques por fuerza bruta, vamos a hacer una comparación con elementos de la vida cotidiana. Pensad por unos segundos que haríais si se os olvida la combinación del candado que tenemos arriba y necesitáis abrirlo. Imagino que todos coincidiremos en que una forma de hacerlo sería probar la combinación 0-0-0 en primer lugar. Si esa no funciona, la 0-0-1 y seguir así hasta la 9-9-9. De esta forma, hemos probado todas las combinaciones posibles, y seguro que alguna combinación ha abierto el candado. Si somos hábiles con las manos, tardaríamos uno o dos segundos en probar cada combinación y en aproximadamente media hora el candado estaría abierto.
Esto que acabamos de hacer, sería perfectamente un ataque por fuerza bruta, hemos probado todas las combinaciones posibles hasta obtener la correcta. Ahora volvamos a las contraseñas.
¿Cómo un hacker obtendría nuestra contraseña?
Vamos a explicar este punto también con un ejemplo. Imaginemos que nuestra contraseña es la palabra “gato”. En este caso, el hacker va a intentar hacer lo mismo que hemos hecho nosotros con el candado, probar todas las combinaciones hasta acertar con la contraseña. Para lograrlo, usará un programa que intentará lo siguiente: primero probará todas las letras del abecedario, después seguirá con todas las combinaciones de dos letras, luego tres y para finalizar probará con todas las combinaciones de cuatro letras hasta que llegue a la combinación “gato”. La pregunta ahora es, ¿Cuánto tiempo tardará en conseguir la contraseña? La respuesta es unos pocos segundos.
Entonces, ¿van a averiguar siempre nuestra contraseña? La respuesta en este caso es NO. Nosotros podemos evitar que un atacante obtenga nuestra clave por un ataque de fuerza bruta. La solución es utilizar contraseñas seguras. Hace unos pocos días, escribimos unas recomendaciones sobre las contraseñas
Por último, os dejo una imagen donde se resume de forma aproximada, el tiempo que se tarda en obtener una contraseña en función de lo larga que sea y de si se usan letras, números y símbolos.
David Lladró
Equipo de Seguridad
dlladro en s2grupo.es
[…] anterior entrada sobre los sistemas empleados para averiguar nuestra contraseña basados en la fuerza bruta, vamos a ver cómo conseguir fácilmente una contraseña fuerte, que sea realmente efectiva contra […]
Hola a los dos, el caso de Tuenti u otros servicios web es diferente al aquí explicado. En esos casos, hay mecanismos que evitan que podamos realizar ataques de fuerza bruta. Tienen sistemas de seguridad “parecidos” a los de las tarjetas de crédito, es decir, solo te dejan intentar la contraseña un numero de veces determinado.
Pero esto no quita la importancia de tener contraseñas fuertes ya que hay otros escenarios en los que sí que sería factible ese tipo de ataques.
Un saludo
Yo de ti no desestimaría el “poder de la fuerza” bruta, o de los hackers. Yo creo que lo pueden todo, sólo depende del tiempo que esten dispuestos a dedicarle.
Pero eso no sirve para probar mi contraseña de tuenti, ¿No?
¿como se puede hacer la fuerza bruta en tuenti? ¿Hay que probar a mano cada contraseña?