Autenticación y ataques por diccionario

El par nombre de usuario y contraseña sigue siendo el método de autenticación más utilizado para verificar la identidad de los usuarios y otorgarles los permisos oportunos. Así, los ataques por diccionario tratan de averiguar las contraseñas aprovechando la utilización de palabras comunes o previsibles.

Tanto en aplicaciones software, como en servicios web, el uso de contraseñas está ampliamente extendido en los procesos de verificación de la identidad para comprobar que el usuario es quién dice ser y si tiene acceso a recursos o información privilegiada.

Cuando el sistema no tiene vulnerabilidades conocidas que permitan burlar el proceso de autenticación, una de las vías de ataque consiste en llevar a cabo un proceso, manual o automático, que compruebe una a una todas las posibles contraseñas almacenadas en un listado al que se denomina diccionario. Los ataques por diccionario realizados de forma manual raramente resultan efectivos. Por ello, en la mayoría de las ocasiones, se utilizan programas o scripts que automatizan el proceso de comprobación de las contraseñas.

Una de las medidas de prevención básica para este tipo de ataques se basa en la elección de contraseñas robustas, de forma que no sean palabras comunes que se encuentren en un diccionario o que puedan estar relacionadas con el usuario (su nombre o el de su mascota, la fecha de nacimiento, la matrícula de su automóvil, etc.).

La elección de una contraseña robusta también puede ser forzada desde la aplicación o servicio con algunas sencillas reglas, tales como comprobar que tenga un mínimo número de caracteres, evitar que sea igual al nombre de usuario, o requerir que tenga algunos dígitos o caracteres especiales además de letras.

Por último, también es muy recomendable que la aplicación de autenticación tenga un mecanismo de bloqueo en caso de detectar varios intentos fallidos consecutivos, de forma que impida los ataques por diccionario.

Este sistema está muy implantado en sectores como la telefonía móvil o en los cajeros automáticos, donde suele haber un límite de 3 intentos fallidos antes de bloquear la cuenta de acceso.

Post Author: Panda Security

Panda Security es una de las principales compañías mundiales que crea y desarrolla tecnologías, productos y servicios de seguridad que mantienen las instalaciones informáticas de sus clientes libres de virus y demás amenazas informáticas con el menor Coste Total de Propiedad.
Para conseguirlo, Panda innova continuamente y trabaja en equipo internamente y junto con sus clientes, proveedores y colaboradores bajo los principios de la Calidad Total o Excelencia.