Se le llama ataque de fuerza bruta a la forma de recuperar una clave/contraseña probando todas las combinaciones posibles hasta encontrar la correcta que permitiera el acceso, dado que utilizan el método de prueba y error, pueden demorar tiempo y ser costosos a nivel de recursos. Estos ataques al ser constantes, hace que que los sitios web estén bajo ejecución todo el tiempo consumiendo muchos recursos del plan de hosting que tiene asignado, lo cual hace que el sitio web se cargue y se vea lento.
A diferencia de otras estrategias usadas por los ciberdelincuentes, los ataques de fuerza bruta no se basan en vulnerabilidades dentro de los sitios web. Estos ataques dependen de que los usuarios tengan credenciales débiles o adivinables para poder averiguarlas. La simplicidad involucrada y la cantidad de objetivos hacen que los ataques de fuerza bruta sean muy populares.
Tipos de ataques de fuerza bruta:
Estándar
Un ataque estándar de fuerza bruta puede usar diferentes métodos, como iterar a través de todas las contraseñas posibles, una a la vez, esto se usa comúnmente en archivos locales, donde no hay límites para la cantidad de intentos que tiene, ya que otros ataques suelen ser más exitosos a escala.
De diccionario
Este ataque de diccionario utiliza una lista de palabras y contraseñas comunes en lugar de ir al azar, creando un “diccionario” de posibles contraseñas e iterando a través de ellas. Usar una buena lista de contraseñas puede ayudar a mejorar las tasas de éxito de los atacantes, pero estos ataques a menudo requieren una gran cantidad de intentos contra posibles objetivos.
De arco iris
Estos ataques de arco iris parten del valor hash para reproducir los pasos de la cadena hasta obtener la contraseña, sin embargo, muchas veces el valor no se encuentra en la tabla, por lo que se recrea al reducir el valor con la misma función con la cual se creó la cadena.
Cómo evitar ataques de fuerza bruta:
1. Bloqueos de cuenta después de intentos fallidos
2. Hacer que el usuario root sea inaccesible a través de SSH
3. Modificar el puerto predeterminado
4. Usa CAPTCHA.
5. Limitar los inicios de sesión a una dirección IP especificada o rango.
6. Tener una contraseña fuerte.