Ataque de diccionario

Este artículo necesita citas adicionales para su verificación . Por favor, ayuda a mejorar este artículo mediante la adición de citas de fuentes confiables . El material no obtenido puede ser cuestionado y eliminado.
Buscar fuentes: "Ataque de diccionario" - noticias · periódicos · libros · académico · JSTOR ( febrero de 2018 ) ( Aprenda cómo y cuándo eliminar este mensaje de plantilla )

En criptoanálisis y seguridad informática , un ataque de diccionario es una forma de ataque de fuerza bruta que se utiliza para derrotar un mecanismo de cifrado o autenticación al intentar determinar su clave de descifrado o frase de contraseña probando miles o millones de posibilidades probables, ^[1] como palabras en un diccionario o contraseñas utilizadas anteriormente , a menudo de listas obtenidas de violaciones de seguridad pasadas. ^[2]

Técnica

Un ataque de diccionario se basa en probar todas las cadenas de una lista preestablecida. Dichos ataques usaban originalmente palabras encontradas en un diccionario (de ahí la frase ataque de diccionario ); ^[3] sin embargo, ahora hay listas mucho más grandes disponibles en la Internet abierta que contienen cientos de millones de contraseñas recuperadas de violaciones de datos pasadas. ^[4]También existe un software de craqueo que puede usar dichas listas y producir variaciones comunes, como la sustitución de números por letras de apariencia similar. Un ataque de diccionario intenta solo aquellas posibilidades que se consideran más probables de éxito. Los ataques de diccionario suelen tener éxito porque muchas personas tienden a elegir contraseñas cortas que son palabras ordinarias o contraseñas comunes; o variantes obtenidas, por ejemplo, añadiendo un dígito o un carácter de puntuación. Los ataques de diccionario suelen tener éxito, ya que muchas de las técnicas de creación de contraseñas de uso común están cubiertas por las listas disponibles, combinadas con la generación de patrones de software de craqueo. Un enfoque más seguro es generar aleatoriamente una contraseña larga (15 letras o más) o una frase de contraseña de varias palabras, utilizando un programa de administración de contraseñas o escribiendo manualmente una contraseña.

Ataque de diccionario precalculado / ataque de tabla de arco iris

Es posible alcanzar una solución de compromiso espacio-temporal de pre-cálculo de una lista de hashes de las palabras del diccionario y el almacenamiento de estos en una base de datos utilizando el hash como clave . Esto requiere una cantidad considerable de tiempo de preparación, pero esto permite que el ataque real se ejecute más rápido. Los requisitos de almacenamiento para las tablas precalculadas alguna vez fueron un costo importante, pero ahora son un problema menor debido al bajo costo del almacenamiento en disco.. Los ataques de diccionario precalculados son particularmente efectivos cuando se debe descifrar una gran cantidad de contraseñas. El diccionario precalculado debe generarse solo una vez, y cuando se completa, los hashes de contraseña se pueden buscar casi instantáneamente en cualquier momento para encontrar la contraseña correspondiente. Un enfoque más refinado implica el uso de tablas de arco iris , que reducen los requisitos de almacenamiento a costa de tiempos de búsqueda un poco más largos. Consulte LM hash para ver un ejemplo de un sistema de autenticación comprometido por un ataque de este tipo.

Los ataques de diccionario precalculados, o "ataques de tabla de arcoíris", pueden frustrarse mediante el uso de salt , una técnica que obliga a que se vuelva a calcular el diccionario hash para cada contraseña buscada, lo que hace que el cálculo previo no sea factible, siempre que el número de valores de sal posibles sea lo suficientemente grande. ^[5]

Software de ataque de diccionario

Ver también

Recolección de direcciones de correo electrónico
Serie de diccionarios intercontinentales , una base de datos lingüística en línea
Función de derivación clave
Estiramiento clave
Craqueo de contraseñas
Seguridad de la contraseña

Referencias

^ Junghyun Nam; Juryon Paik; Hyun-kyu Kang; Ung Kim; Dongho Won (1 de marzo de 2009). "Un ataque de diccionario fuera de línea en un simple protocolo de intercambio de claves de tres partes" . Cartas de comunicaciones de IEEE . 13 (3): 205–207. doi : 10.1109 / LCOMM.2009.081609 . ISSN 1089-7798 .
^ "Oxford Languages y Google - Inglés | Oxford Languages" . languages.oup.com . Consultado el 2 de enero de 2021 .
^ Jeff Atwood. "Ataques de diccionario 101" .
^ Lista de CrackStation . por ejemplo, con más de 1.400 millones de palabras.
^ "CAPEC - CAPEC-55: descifrado de contraseñas de tabla de arco iris (versión 3.5)" . capec.mitre.org . Consultado el 12 de septiembre de 2021 .

enlaces externos

RFC 2828 - Glosario de seguridad en Internet
RFC 4949 - Glosario de seguridad de Internet, versión 2
El Servicio Secreto de EE. UU. Utiliza un ataque de diccionario distribuido contra la contraseña del sospechoso que protege las claves de cifrado
Prueba de fuerza bruta (OWASP-AT-004)

[1] Junghyun Nam; Juryon Paik; Hyun-kyu Kang; Ung Kim; Dongho Won (1 de marzo de 2009). "Un ataque de diccionario fuera de línea en un simple protocolo de intercambio de claves de tres partes" . Cartas de comunicaciones de IEEE . 13 (3): 205–207. doi : 10.1109 / LCOMM.2009.081609 . ISSN 1089-7798 .

[2] "Oxford Languages y Google - Inglés | Oxford Languages" . languages.oup.com . Consultado el 2 de enero de 2021 .

[3] Jeff Atwood. "Ataques de diccionario 101" .

[4] Lista de CrackStation . por ejemplo, con más de 1.400 millones de palabras.

[5] "CAPEC - CAPEC-55: descifrado de contraseñas de tabla de arco iris (versión 3.5)" . capec.mitre.org . Consultado el 12 de septiembre de 2021 .

[1]