El ataque de fuerza bruta sigue siendo uno de los métodos más populares para descifrar contraseñas. Sin embargo, no es solo para descifrar contraseñas. Los ataques de fuerza bruta también se pueden utilizar para descubrir páginas y contenido ocultos en una aplicación web. Este ataque es básicamente «golpear y probar» hasta que tenga éxito. Este ataque a veces lleva más tiempo, pero su tasa de éxito es mayor.
En este artículo, intentaré explicar los ataques de fuerza bruta y las herramientas populares utilizadas en diferentes escenarios para realizar ataques de fuerza bruta para obtener los resultados deseados.
¿Qué es un ataque de fuerza bruta?
Un ataque de fuerza bruta cuando un atacante usa un conjunto de valores predefinidos para atacar a un objetivo y analizar la respuesta hasta que tenga éxito. El éxito depende del conjunto de valores predefinidos. Si es mayor, llevará más tiempo, pero hay una mayor probabilidad de éxito.
El ejemplo más común y más fácil de entender del ataque de fuerza bruta es el ataque de diccionario para descifrar contraseñas. En este, el atacante usa un diccionario de contraseñas que contiene millones de palabras que pueden usarse como contraseña. El atacante prueba estas contraseñas uno por uno para la autenticación. Si este diccionario contiene la contraseña correcta, el atacante Lo lograremos.
En un ataque de fuerza bruta tradicional, el atacante simplemente intenta la combinación de letras y números para generar una contraseña de forma secuencial. Sin embargo, esta técnica tradicional tardará más cuando la contraseña sea lo suficientemente larga. Estos ataques pueden tardar desde varios minutos hasta varias horas o varios años, según el sistema utilizado y la longitud de la contraseña.
Para evitar el descifrado de contraseñas por ataques de fuerza bruta, siempre se deben utilizar contraseñas largas y complejas. Esto dificulta que los atacantes adivinen la contraseña y los ataques de fuerza bruta llevarán demasiado tiempo. El bloqueo de cuentas es otra forma de evitar que el atacante realice ataques de fuerza bruta en aplicaciones web. Sin embargo, para el software sin conexión, las cosas no son tan fáciles de proteger.
De manera similar, para descubrir páginas ocultas, el atacante intenta adivinar el nombre de la página, envía solicitudes y ve la respuesta. Si la página no existe, mostrará una respuesta 404; si tiene éxito, la respuesta será 200. De esta manera, puede encontrar páginas ocultas en cualquier sitio web.
La fuerza bruta también se usa para descifrar el hash y adivinar una contraseña de un hash dado. En esto, el hash se genera a partir de contraseñas aleatorias y luego este hash se compara con un hash de destino hasta que el atacante encuentra el correcto. Por lo tanto, cuanto mayor sea el tipo de cifrado (cifrado de 64 bits, 128 bits o 256 bits) utilizado para cifrar la contraseña, más tardará en romperse.
Ataque de fuerza bruta inversa
Un ataque de fuerza bruta inverso es otro término que se asocia con el descifrado de contraseñas. Se necesita un enfoque inverso para descifrar contraseñas. En esto, el atacante prueba una contraseña con varios nombres de usuario. Imagínese si conoce una contraseña pero no tiene idea de los nombres de usuario. En este caso, puede probar la misma contraseña y adivinar los diferentes nombres de usuario hasta que encuentre la combinación que funcione.
Ahora, sabe que un ataque de fuerza bruta se usa principalmente para descifrar contraseñas. Puede usarlo en cualquier software, sitio web o protocolo que no bloquee solicitudes después de algunas pruebas no válidas. En esta publicación, voy a agregar algunas herramientas para descifrar contraseñas de fuerza bruta para diferentes protocolos.
Herramientas populares para ataques de fuerza bruta
Aircrack-ng
Estoy seguro de que ya conoce la herramienta Aircrack-ng. Esta es una popular herramienta para descifrar contraseñas wifi de fuerza bruta disponible de forma gratuita. También mencioné esta herramienta en nuestra publicación anterior sobre las herramientas más populares para descifrar contraseñas. Esta herramienta viene con herramientas de análisis y cracker WEP / WPA / WPA2-PSK para realizar ataques en Wi-Fi 802.11. Aircrack-ng se puede usar para cualquier NIC que admita el modo de monitoreo sin formato.
Básicamente realiza ataques de diccionario contra una red inalámbrica para adivinar la contraseña. Como ya sabes, el éxito del ataque depende del diccionario de contraseñas. Cuanto mejor y más efectivo sea el diccionario de contraseñas, más probable será que descifre la contraseña.
Está disponible para plataformas Windows y Linux. También se ha adaptado para ejecutarse en plataformas iOS y Android. Puedes probarlo en determinadas plataformas para ver cómo se puede usar esta herramienta para descifrar contraseñas wifi por fuerza bruta.
Descarga Aircrack-ng aquí.
John the Ripper
John the Ripper es otra herramienta increíble que no necesita presentación. Ha sido una de las opciones favoritas para realizar ataques de fuerza bruta durante mucho tiempo. Este software gratuito para descifrar contraseñas se desarrolló inicialmente para sistemas Unix. Más tarde, los desarrolladores lo lanzaron para varias otras plataformas. Ahora, es compatible con quince plataformas diferentes, incluidas Unix, Windows, DOS, BeOS y OpenVMS.
Puede usar esto para identificar contraseñas débiles o para descifrar contraseñas para romper la autenticación.
Esta herramienta es muy popular y combina varias funciones para descifrar contraseñas. Puede detectar automáticamente el tipo de hash utilizado en una contraseña. Por lo tanto, también puede ejecutarlo contra el almacenamiento de contraseñas cifradas.
Básicamente, puede realizar ataques de fuerza bruta con todas las contraseñas posibles combinando texto y números. Sin embargo, también puedes usarlo con un diccionario de contraseñas para realizar ataques de diccionario.
Descarga John the Ripper aquí.
Rainbow Crack
Rainbow Crack también es una popular herramienta de fuerza bruta utilizada para descifrar contraseñas. Genera tablas de arco iris para usar mientras se realiza el ataque. De esta manera, es diferente de otras herramientas convencionales de fuerza bruta. Las tablas Rainbow están precalculadas. Ayuda a reducir el tiempo de ejecución del ataque.
Lo bueno es que hay varias organizaciones que ya han publicado las tablas de arcoíris precomputadora para todos los usuarios de Internet. Para ahorrar tiempo, puede descargar esas tablas de arco iris y usarlas en sus ataques.
Esta herramienta aún está en desarrollo activo. Está disponible para Windows y Linux y es compatible con todas las últimas versiones de estas plataformas.
Descargue Rainbow Crack y lea más sobre esta herramienta aquí.
L0phtCrack
L0phtCrack es conocido por su capacidad para descifrar contraseñas de Windows. Utiliza ataques de diccionario, ataques de fuerza bruta, ataques híbridos y tablas de arco iris. Las características más notables de L0phtcrack son la programación, la extracción de hash de las versiones de Windows de 64 bits, los algoritmos multiprocesador y la supervisión y decodificación de la red. Si quieres descifrar la contraseña de un sistema Windows, puedes probar esta herramienta.
Descarga L0phtCrack aquí.
Ophcrack
Ophcrack es otro método de fuerza bruta herramienta especialmente utilizada para descifrar contraseñas de Windows. Descifra las contraseñas de Windows mediante el uso de hash LM a través de tablas de arco iris. Es una herramienta gratuita y de código abierto.
En la mayoría de los casos, puede descifrar una contraseña de Windows en unos minutos. De forma predeterminada, Ophcrack viene con tablas de arco iris para descifrar contraseñas de menos de 14 caracteres que contienen solo caracteres alfanuméricos. Otras tablas de arco iris también están disponibles para descargar.
Ophcrack también está disponible como LiveCD.
Descargue Ophcrack aquí.
Hashcat
Hashcat afirma ser la herramienta para descifrar contraseñas basada en CPU más rápida. Es gratis y viene para plataformas Linux, Windows y Mac OS. Hashcat admite varios algoritmos hash, incluidos LM Hashes, MD4, MD5, familia SHA, formatos Unix Crypt, MySQL y Cisco PIX. Admite varios ataques, incluidos ataques de fuerza bruta, ataques de combinador, ataques de diccionario, ataques de huellas dactilares, ataques híbridos, ataques de máscara, ataque de permutación, ataques basados en reglas, ataques de búsqueda de tablas y ataques de alternancia.
Descargar Hashcat aquí.
DaveGrohl
DaveGrohl es una popular herramienta de fuerza bruta para Mac OS X. Es compatible con todas las versiones disponibles de Mac OS X. Esta herramienta admite tanto ataques de diccionario como ataques incrementales . También tiene un modo distribuido que le permite realizar ataques desde múltiples computadoras para atacar el mismo hash de contraseña.
Esta herramienta ahora es de código abierto y puede descargar el código fuente.
Descargue DaveGrohl aquí.
Ncrack
Ncrack es también es una popular herramienta para descifrar contraseñas para descifrar autenticaciones de red. Es compatible con varios protocolos, incluidos RDP, SSH, HTTP (S), SMB, POP3 (S), VNC, FTP y Telnet. Puede realizar diferentes ataques, incluidos los de fuerza bruta. Es compatible con varias plataformas, incluidas Linux, BSD, Windows y Mac OS X.
Descargue Ncrack aquí.
THC Hydra
THC Hydra es conocido por su capacidad para descifrar contraseñas de autenticaciones de red realizando ataques de fuerza bruta. Realiza ataques de diccionario contra más de 30 protocolos, incluidos Telnet, FTP, HTTP, HTTPS, SMB y más. Está disponible para varias plataformas, incluidas Linux, Windows / Cygwin, Solaris 11, FreeBSD 8.1, OpenBSD, OSX y QNX / Blackberry.
Descargue THC Hydra aquí.
Conclusión
Estas son algunas herramientas populares de fuerza bruta para descifrar contraseñas. También hay varias otras herramientas disponibles que realizan fuerza bruta en diferentes tipos de autenticación. Si solo doy un ejemplo de algunas herramientas pequeñas, verá que la mayoría de las herramientas para descifrar PDF y ZIP utilizan los mismos métodos de fuerza bruta para realizar ataques y descifrar contraseñas. Hay muchas herramientas de este tipo disponibles de forma gratuita o de pago.
La fuerza bruta es el mejor método para descifrar contraseñas. El éxito del ataque depende de varios factores. Sin embargo, los factores que más afectan son la longitud de la contraseña y la combinación de caracteres, letras y caracteres especiales. Es por eso que cuando hablamos de contraseñas seguras, generalmente sugerimos que los usuarios tengan contraseñas largas con una combinación de letras minúsculas, mayúsculas, números y caracteres especiales.No hace imposible el uso de la fuerza bruta, pero lo hace difícil. Por lo tanto, llevará más tiempo llegar a la contraseña mediante la fuerza bruta.
Casi todos los algoritmos de descifrado de hash utilizan la fuerza bruta para golpear e intentar. Este ataque es mejor cuando tiene acceso sin conexión a los datos. En ese caso, facilita el descifrado y lleva menos tiempo.
El descifrado de contraseñas por fuerza bruta también es muy importante en la seguridad informática. Se utiliza para verificar las contraseñas débiles utilizadas en el sistema, la red o la aplicación.
La mejor manera de prevenir ataques de fuerza bruta es limitar los inicios de sesión no válidos. De esta manera, los ataques solo pueden golpear y probar contraseñas solo durante un tiempo limitado. Esta es la razón por la que los servicios basados en la web comienzan a mostrar s si ingresa las contraseñas incorrectas tres veces o bloquearán su dirección IP.