resistencia de contraseña a la fuerza bruta / Sudo Null IT News

en lo fresco

investigación

Los especialistas de Kaspersky Lab analizan en detalle la resistencia de las contraseñas de usuario típicas a la fuerza bruta. La principal conclusión del trabajo es que el 59% de las contraseñas se pueden descifrar en menos de una hora. Para ello, se analizó una enorme base de datos de 193 millones de contraseñas encontradas en el dominio público en diversos recursos de la darknet. Los autores del estudio consideraron un escenario completamente realista en el que se atacaba la base de datos de contraseñas de los usuarios de un servicio. Se elimina el peor de los casos, en el que las contraseñas se almacenan en texto claro. Si las contraseñas se codifican con sal, dichos hashes son esencialmente irreversibles, pero se puede utilizar la fuerza bruta para establecer una coincidencia entre la contraseña real y su hash.

Medir el tiempo de selección requiere establecer un objetivo de desempeño. Se eligió como referencia la tarjeta de video RTX 4090, una solución costosa, pero que, sin embargo, está ampliamente disponible. La velocidad de selección en esta configuración es de 164 mil millones de hashes por segundo. Quizás la conclusión más positiva del artículo es que las contraseñas complejas en bases de datos filtradas no son tan raras. El 28% de las contraseñas constan de caracteres en mayúsculas y minúsculas, contienen números y caracteres especiales. La fuerza bruta para el 85% de estas contraseñas tardará más de un año. Sin embargo, estamos hablando del método más sencillo de búsqueda exhaustiva. El estudio también evalúa métodos más eficaces.

El trabajo evalúa cinco métodos optimizados de fuerza bruta. Por ejemplo, puede evaluar la base de datos de fugas y seleccionar los patrones encontrados con más frecuencia, que deben comprobarse primero. Existe un método de optimización que da prioridad a los caracteres que aparecen con más frecuencia. Un algoritmo separado simplifica la selección de contraseñas que contienen palabras del diccionario. Los investigadores también incluyeron dos métodos de selección en la selección, utilizando variaciones de los tres caracteres que aparecen con más frecuencia. Probar todos estos algoritmos no revela un ganador: la efectividad de un método particular depende de la naturaleza y solidez de las contraseñas.

Para evaluar la efectividad general de varios métodos, se dividieron según la complejidad de la contraseña, dependiendo del tiempo dedicado a la selección: no más de un minuto, no más de una hora, hasta un día, etc. En cada categoría de complejidad, se calculó qué proporción de contraseñas podrían descifrarse mediante el algoritmo más adecuado. Esta es una métrica algo teórica: supone que un atacante potencial pudo encontrar el algoritmo más óptimo para descifrar una contraseña específica. Un escenario más realista es cuando se lanzan simultáneamente diferentes algoritmos de fuerza bruta en diferentes tarjetas de video. Como resultado, en las condiciones más ideales, el 45% de las contraseñas filtradas en línea se pueden piratear en un minuto y otro 14% se puede piratear en una hora. Lo que en total da ese mismo 59%. Incluso con los mejores algoritmos, adivinar el 23% de las contraseñas llevará más de un año.

Por separado, el artículo examina el escenario en el que la contraseña contiene una palabra del diccionario, y los investigadores claramente evalúan negativamente este enfoque para crear contraseñas. Las palabras están incluidas en el 57% de las contraseñas. La gran mayoría de las contraseñas que constan únicamente de palabras se pueden descifrar en un minuto. Incluso con la adición de letras, números y caracteres especiales adicionales, solo el 20% de las contraseñas con palabras serán verdaderamente seguras; se necesitará más de un año para encontrarlas.

Los investigadores proporcionan algunos datos más interesantes sobre las contraseñas. En general, cualquier contraseña de hasta 8 caracteres se puede descifrar en una hora. Los algoritmos optimizados pueden manejar fácilmente incluso contraseñas largas si contienen patrones típicos: conjuntos de caracteres QWERTY, secuencias de números, etc. Además de las contraseñas compuestas de palabras, se espera que las contraseñas que consisten únicamente en números sean débiles. La conclusión obvia del estudio es la necesidad de utilizar contraseñas de gran longitud, generadas por software, que consistan únicamente en caracteres aleatorios.

¿Qué más pasó?

BleepingEdición para computadora escribe sobre un ciberataque inusual en el que los atacantes generan un cuadro de diálogo de “error” en el navegador en aplicaciones de uso frecuente, como Microsoft Word. Para “resolver” el problema, se pide al usuario que copie y ejecute un script de PowerShell, lo que conduce a la ejecución de código malicioso.

Los investigadores encontraron forma evitando el sistema de protección de hardware Memory Tagging Extensions utilizado en procesadores basados ​​en arquitectura ARM.

Compañía Eclypsium descubierto Vulnerabilidad en el firmware Phoenix SecureCore UEFI utilizado para implementar la funcionalidad del Módulo de plataforma segura. Un problema bastante grave es relevante tanto para varias placas base de computadoras de escritorio y portátiles como para los procesadores Intel hasta Tiger Lake.

En varios dispositivos de red D-Link descubierto puerta trasera “de fábrica”. Al acceder al enrutador desde la red local mediante una URL “secreta”, puede forzar el acceso al dispositivo a través del protocolo telnet.

Operación cibercriminal a gran escala objetivos Los dispositivos Android ya no reciben actualizaciones de seguridad. Se instala malware en los teléfonos inteligentes, el dispositivo se bloquea y se pide a los propietarios que paguen un rescate.