Alexander: Protección contra ataques de 'fuerza bruta' y 'diccionario'

Q: Muchos sitios web protegidos con contraseña le brindan algunas oportunidades de ingresar su contraseña correctamente y luego bloquearlo si escribe algo incorrecto. Luego debe ingresar un código o responder una 'pregunta secreta' para demostrar quién es usted.

Entonces, ¿por qué veo programas de televisión en los que los delincuentes inteligentes usan una computadora para probar, digamos, 10,000 contraseñas por minuto hasta que obtienen la correcta para ingresar a un sitio web? ¿Por qué no se bloquea a los delincuentes después de algunas contraseñas incorrectas?

JERRY ROVENTINI, Lakeland, Florida.

A: Los programas de televisión son menos inverosímiles de lo que piensas.

El escenario que está describiendo se llama ataque de 'fuerza bruta'. Una computadora se conecta a un servidor web y rápidamente prueba una larga lista de posibles contraseñas hasta que encuentra la correcta. Un ataque de fuerza bruta real requeriría aproximadamente dos horas para descifrar una contraseña de ocho caracteres compuesta de letras (mayúsculas y minúsculas), números y caracteres especiales (ver tinyurl.com/4r2debx3 ).

¿Cómo evitarían los atacantes ser bloqueados durante esas dos horas? Los piratas informáticos sofisticados podrían desactivar el 'sistema de detección de intrusos' del servidor o su 'límite de intentos de contraseña' automático (que normalmente bloquea a una persona después de algunos intentos incorrectos).

Pero debido a que los ataques de fuerza bruta requieren cierta experiencia, son menos comunes que una amenaza más simple llamada 'ataque de diccionario'. El 'diccionario' es una breve lista de contraseñas comunes que una computadora puede probar en mucho menos de dos horas. Estos ataques tienen éxito cuando las personas usan contraseñas simples, como 'contraseña' y '123456', que tardan fracciones de segundo en descifrarse.



Si bien es difícil creer que la gente todavía use contraseñas tan vulnerables, aquí hay un hecho interesante: el ataque de 2019 a la empresa de TI de Texas SolarWinds, un contratista federal, reveló que un empleado usó la contraseña 'solarwinds123' para acceder a un servidor. Una investigación del Congreso criticó el uso de contraseñas tan simples, pero la empresa determinó que la contraseña no era el vehículo del ataque.

Y, según la información de otras violaciones de datos, aquí hay una lista de las contraseñas más comunes de 2020, la frecuencia con la que fueron pirateadas y el poco tiempo que tomó (ver tinyurl.com/zu2ekpdt ). La lista de contraseñas incluye 'abc123', '111111' e 'iloveyou'.

La mejor defensa contra la fuerza bruta y los ataques de diccionario es usar una contraseña que sea una combinación larga de letras, números y símbolos que no tendrían sentido para nadie más que para usted. Estas llamadas 'contraseñas no predecibles' son mucho más difíciles de piratear.

Q: Sigo recibiendo un mensaje de Windows 10 que se supone que es de Microsoft, pero me pregunto si es una estafa. Dice: 'Necesitamos arreglar su cuenta de Microsoft (lo más probable es que haya cambiado su contraseña). Seleccione aquí para solucionarlo en la configuración de experiencias compartidas '. ¿Estás familiarizado con esto?

PIERRE GIRARD, Valle Dorado

A: Es una advertencia legítima de Microsoft, pero está siendo provocada por un error de Windows 10. Se han sugerido varias correcciones:

  • Desactive la función 'compartir entre dispositivos' de su PC, que facilita el intercambio de datos con otras computadoras y teléfonos. (Consulte el método de 'aplicación de configuración' en tinyurl.com/3dknadj3 .)
  • Si está iniciando sesión en Windows 10 con la contraseña de su cuenta de Microsoft en línea, cambie a una cuenta 'local' que no dependa de su identidad en línea (consulte tinyurl.com/act82bu4 ).
  • Asegúrese de que su PC sea un 'dispositivo de confianza' que figura en su cuenta de Microsoft (consulte tinyurl.com/sykz6wzk ).

Envíe sus preguntas sobre tecnología por correo electrónico a steve.j.alexander@gmail.com o escriba a Tech Q&A, 650 3rd Av. S., Suite 1300, Minneapolis, MN 55488. Incluya nombre, ciudad y número de teléfono.

Corrección: Aclaración: esta columna se actualizó para señalar que se determinó que la contraseña simple utilizada por un empleado de la compañía de TI Solar Winds no había sido la ruta de un ciberataque en 2019.