Mobile versionEl '''Descifrado de contraseñas''' (
== Clasificación ==
Se debe hacer una distinción entre técnicas de ataque que tienen lugar en línea o fuera de línea.
=== Ataque en línea ===
En un ataque online, el atacante interactúa con el sistema informático atacado, por ejemplo a través de una red informática. Esto limita el número de intentos. Esto se debe, por un lado, a condiciones técnicas, ya que el sistema atacado tiene una velocidad de procesamiento limitada. Por otro lado, la velocidad a la que se pueden probar las contraseñas puede verse limitada artificialmente. Un ataque en línea también es notable, por lo que un atacante puede quedar excluido del sistema por un tiempo después de demasiados intentos fallidos. Para pasar desapercibido, un atacante puede limitar sus intentos de inicio de sesión (tecnología de la información) y distribuirlos a lo largo del tiempo para permanecer por debajo de los valores umbral.
=== Ataque sin conexión ===
En un ataque fuera de línea, el atacante tiene el valor hash criptográfico de una contraseña y puede intentar descifrarlo sin interactuar con el sistema atacado. Esto significa que el número de intentos sólo está limitado por la capacidad informática del atacante y es mucho más rápido que un ataque en línea. El atacante tampoco se detecta en un ataque fuera de línea.
En un ataque fuera de línea, el atacante tiene que convertir todos los posibles candidatos a contraseña en un valor hash y compararlo con el valor hash que se va a romper. La potencia informática necesaria para un cálculo depende de la función hash utilizada. Para dificultar los ataques, se utilizan funciones especializadas para la derivación o extensión de claves. PBKDF2, por ejemplo, aumenta el esfuerzo computacional necesario para convertir una contraseña en un valor hash mediante una iteración parametrizada. Los ataques fuera de línea se pueden acelerar de manera muy eficiente mediante el uso de hardware especializado, como procesadores gráficos, FPGA (arreglos de puertas programables en campo) o ASIC (circuitos integrados de aplicaciones específicas). Una forma de dificultar la aceleración de hardware es utilizar funciones que consumen mucha memoria, como Argon2.
Se puede llevar a cabo un ataque fuera de línea contra una gran cantidad de hashes de contraseñas robadas al mismo tiempo. El cálculo de hash solo debe realizarse una vez para comparar el resultado con una gran cantidad de valores de hash que se van a descomponer. Para evitar esto, la función hash se puede parametrizar con una sal (criptología)|Sal o Pimienta.
== Técnicas de ataque ==
Existen varias técnicas que un atacante puede utilizar para probar posibles contraseñas. Estos difieren en cuáles y cuántas contraseñas se prueban.
=== Método de fuerza bruta ===
Con el método de fuerza bruta, el atacante prueba todas las combinaciones posibles de contraseñas. Teóricamente, con este método siempre se encontrará la contraseña correcta en algún momento. Sin embargo, con una contraseña larga y segura, la búsqueda puede tardar tanto que el ataque se vuelve prácticamente imposible. El método de fuerza bruta es muy eficaz contra contraseñas cortas.
=== Rociado de contraseña ===
''Rociado de contraseña'' (
=== Relleno de credenciales ===
Con el relleno de credenciales, el atacante tiene ID de usuario reales con una contraseña asociada que provienen de una fuga de datos. Estos se prueban automáticamente en distintos servicios en línea (en sentido figurado, las máscaras de registro se rellenan con datos de acceso). El ataque es efectivo cuando los usuarios reutilizan la misma contraseña en diferentes servicios, lo que suele ser el caso.
=== Ataque de la mesa arcoíris ===
Una forma de ahorrar tiempo de cálculo en un ataque fuera de línea es generar listas precalculadas de valores hash. Sin embargo, las listas completas requieren demasiado espacio de almacenamiento para ser prácticas. Las tablas Rainbow representan una compensación de tiempo y memoria entre el tiempo de computación y el espacio de almacenamiento: las partes precalculadas se almacenan en tablas. El algoritmo de búsqueda de una tabla arco iris es más rápido que el método de fuerza bruta, pero la búsqueda no es exhaustiva y por lo tanto el éxito no está garantizado.
El uso de Salt (criptología)|Salt o Pepper protege contra un ataque a la tabla Rainbow, ya que este parámetro|parámetro (matemáticas) hace que la función hash sea única y, por lo tanto, un cálculo previo no tiene sentido en la mayoría de los casos.
=== Ataque de diccionario ===
En un ataque de diccionario, el atacante prueba una lista de contraseñas determinada. Puede ser una colección de contraseñas de uso frecuente o un diccionario general. También se tienen en cuenta los nombres propios y neologismos de la literatura y los medios de entretenimiento, ya que suelen utilizarse como contraseñas.
La eficacia de un ataque de diccionario depende de la calidad del diccionario. En un ataque fuera de línea, los diccionarios se procesan rápidamente. Para probar más combinaciones, las palabras se pueden permutar o completar con caracteres adicionales.
=== Ataques probabilísticos ===
Otra técnica es generar contraseñas probables usando métodos probabilísticos (teoría de la probabilidad) y probar sólo esas. Esto es posible, por ejemplo, con las cadenas de Markov, que se generan a partir de un corpus de texto y dan la probabilidad de una determinada combinación de caracteres. Se puede utilizar un diccionario como corpus de texto, que también se utiliza en el ataque de diccionario.
Un ataque probabilístico requiere menos intentos que un ataque de fuerza bruta. Sin embargo, en comparación con un ataque de diccionario, los métodos probabilísticos también generan nuevas combinaciones que no están contenidas en el diccionario. La eficacia del ataque depende no sólo del algoritmo sino también del corpus de texto, ya que esto determina si el algoritmo genera la contraseña buscada como una combinación probable.
Categoría:Seguridad informática
Categoría:Tecnología hacker (seguridad informática)
More details: https://de.wikipedia.org/wiki/Passwort-Cracking
Cracking de contraseñas ⇐ Proyectos de artículos
Artículos preliminares
1778857561
Anonymous
El '''Descifrado de contraseñas''' (
== Clasificación ==
Se debe hacer una distinción entre técnicas de ataque que tienen lugar en línea o fuera de línea.
=== Ataque en línea ===
En un ataque online, el atacante interactúa con el sistema informático atacado, por ejemplo a través de una red informática. Esto limita el número de intentos. Esto se debe, por un lado, a condiciones técnicas, ya que el sistema atacado tiene una velocidad de procesamiento limitada. Por otro lado, la velocidad a la que se pueden probar las contraseñas puede verse limitada artificialmente. Un ataque en línea también es notable, por lo que un atacante puede quedar excluido del sistema por un tiempo después de demasiados intentos fallidos. Para pasar desapercibido, un atacante puede limitar sus intentos de inicio de sesión (tecnología de la información) y distribuirlos a lo largo del tiempo para permanecer por debajo de los valores umbral.
=== Ataque sin conexión ===
En un ataque fuera de línea, el atacante tiene el valor hash criptográfico de una contraseña y puede intentar descifrarlo sin interactuar con el sistema atacado. Esto significa que el número de intentos sólo está limitado por la capacidad informática del atacante y es mucho más rápido que un ataque en línea. El atacante tampoco se detecta en un ataque fuera de línea.
En un ataque fuera de línea, el atacante tiene que convertir todos los posibles candidatos a contraseña en un valor hash y compararlo con el valor hash que se va a romper. La potencia informática necesaria para un cálculo depende de la función hash utilizada. Para dificultar los ataques, se utilizan funciones especializadas para la derivación o extensión de claves. PBKDF2, por ejemplo, aumenta el esfuerzo computacional necesario para convertir una contraseña en un valor hash mediante una iteración parametrizada. Los ataques fuera de línea se pueden acelerar de manera muy eficiente mediante el uso de hardware especializado, como procesadores gráficos, FPGA (arreglos de puertas programables en campo) o ASIC (circuitos integrados de aplicaciones específicas). Una forma de dificultar la aceleración de hardware es utilizar funciones que consumen mucha memoria, como Argon2.
Se puede llevar a cabo un ataque fuera de línea contra una gran cantidad de hashes de contraseñas robadas al mismo tiempo. El cálculo de hash solo debe realizarse una vez para comparar el resultado con una gran cantidad de valores de hash que se van a descomponer. Para evitar esto, la función hash se puede parametrizar con una sal (criptología)|Sal o Pimienta.
== Técnicas de ataque ==
Existen varias técnicas que un atacante puede utilizar para probar posibles contraseñas. Estos difieren en cuáles y cuántas contraseñas se prueban.
=== Método de fuerza bruta ===
Con el método de fuerza bruta, el atacante prueba todas las combinaciones posibles de contraseñas. Teóricamente, con este método siempre se encontrará la contraseña correcta en algún momento. Sin embargo, con una contraseña larga y segura, la búsqueda puede tardar tanto que el ataque se vuelve prácticamente imposible. El método de fuerza bruta es muy eficaz contra contraseñas cortas.
=== Rociado de contraseña ===
''Rociado de contraseña'' (
=== Relleno de credenciales ===
Con el relleno de credenciales, el atacante tiene ID de usuario reales con una contraseña asociada que provienen de una fuga de datos. Estos se prueban automáticamente en distintos servicios en línea (en sentido figurado, las máscaras de registro se rellenan con datos de acceso). El ataque es efectivo cuando los usuarios reutilizan la misma contraseña en diferentes servicios, lo que suele ser el caso.
=== Ataque de la mesa arcoíris ===
Una forma de ahorrar tiempo de cálculo en un ataque fuera de línea es generar listas precalculadas de valores hash. Sin embargo, las listas completas requieren demasiado espacio de almacenamiento para ser prácticas. Las tablas Rainbow representan una [url=viewtopic.php?t=52636]compensación[/url] de tiempo y memoria entre el tiempo de computación y el espacio de almacenamiento: las partes precalculadas se almacenan en tablas. El algoritmo de búsqueda de una tabla arco iris es más rápido que el método de fuerza bruta, pero la búsqueda no es exhaustiva y por lo tanto el éxito no está garantizado.
El uso de Salt (criptología)|Salt o Pepper protege contra un ataque a la tabla Rainbow, ya que este parámetro|parámetro (matemáticas) hace que la función hash sea única y, por lo tanto, un cálculo previo no tiene sentido en la mayoría de los casos.
=== Ataque de diccionario ===
En un ataque de diccionario, el atacante prueba una lista de contraseñas determinada. Puede ser una colección de contraseñas de uso frecuente o un diccionario general. También se tienen en cuenta los nombres propios y neologismos de la literatura y los medios de entretenimiento, ya que suelen utilizarse como contraseñas.
La eficacia de un ataque de diccionario depende de la calidad del diccionario. En un ataque fuera de línea, los diccionarios se procesan rápidamente. Para probar más combinaciones, las palabras se pueden permutar o completar con caracteres adicionales.
=== Ataques probabilísticos ===
Otra técnica es generar contraseñas probables usando métodos probabilísticos (teoría de la probabilidad) y probar sólo esas. Esto es posible, por ejemplo, con las cadenas de Markov, que se generan a partir de un corpus de texto y dan la probabilidad de una determinada combinación de caracteres. Se puede utilizar un diccionario como corpus de texto, que también se utiliza en el ataque de diccionario.
Un ataque probabilístico requiere menos intentos que un ataque de fuerza bruta. Sin embargo, en comparación con un ataque de diccionario, los métodos probabilísticos también generan nuevas combinaciones que no están contenidas en el diccionario. La eficacia del ataque depende no sólo del algoritmo sino también del corpus de texto, ya que esto determina si el algoritmo genera la contraseña buscada como una combinación probable.
Categoría:Seguridad informática
Categoría:Tecnología hacker (seguridad informática)
More details: [url]https://de.wikipedia.org/wiki/Passwort-Cracking[/url]