As senhas raramente são apreciadas até que ocorra uma violação de segurança; basta dizer que a importância de uma senha forte só fica clara quando confrontada com as consequências de uma senha fraca. No entanto, a maioria dos usuários finais não tem consciência de quão vulneráveis suas senhas são aos métodos mais comuns de quebra de senhas. A seguir estão as três técnicas comuns para quebrar senhas e como se defender delas.

Ataque de força bruta

Ataques de força bruta são técnicas diretas, mas altamente eficazes para quebrar senhas. Esses ataques envolvem atores maliciosos usando ferramentas automatizadas para tentar sistematicamente todas as combinações possíveis de senhas por meio de repetidas tentativas de login. Embora essas ferramentas existam há anos, o advento do poder de computação e armazenamento acessíveis as tornou ainda mais eficientes hoje, especialmente quando senhas fracas são usadas.

Como funciona

Quando se trata de ataques de força bruta, os agentes maliciosos empregam uma variedade de táticas, desde ataques de força bruta simples que testam todas as combinações de senha possíveis até abordagens mais sutis, como ataques de força bruta híbridos e reversos. Cada método tem uma estratégia distinta por trás dele, mas os motivos por trás dos ataques de força bruta são os mesmos: obter acesso não autorizado a dados ou recursos protegidos.

Algumas ferramentas automatizadas populares para realizar ataques de força bruta incluem:

John the Ripper : um cracker de senhas multiplataforma com suporte para 15 sistemas operacionais diferentes e centenas de hashes e tipos de cifras
L0phtCrack : uma ferramenta que usa tabelas de arco-íris, dicionários e algoritmos multiprocessadores para quebrar senhas do Windows
Hashcat : um utilitário de recuperação de senha/cracking que suporta cinco modos exclusivos de ataque para mais de 300 algoritmos de hash altamente otimizados

Exemplos

Em agosto de 2021, a operadora de telefonia móvel dos EUA T-Mobile foi vítima de uma violação de dados que começou com um ataque de força bruta. O comprometimento da segurança resultou na exposição de mais de 37 milhões de registros de clientes contendo dados confidenciais, como números de previdência social, informações de carteira de motorista e outros dados de identificação pessoal.

Medidas de defesa

Os usuários devem escolher senhas fortes e complexas e autenticação multifator (MFA) para se proteger contra ataques de força bruta. Os administradores devem implementar políticas de bloqueio de conta e auditar continuamente seus ambientes Windows em busca de senhas fracas e violadas. Ferramentas como o Specops Password Auditor podem automatizar esses processos em ambientes de TI expansivos.

Ataque de dicionário

Em um ataque de dicionário de senhas, os invasores cibernéticos tentam obter acesso usando uma lista de senhas comuns ou palavras de um dicionário. Essa lista de palavras predefinida normalmente inclui as palavras, frases e combinações simples mais usadas (por exemplo, “admin123”). Os ataques de dicionário de senhas ressaltam a importância de senhas complexas e exclusivas, pois esses tipos de ataque são especialmente eficazes contra senhas fracas ou facilmente adivinhadas.

Como funciona

O processo começa com a compilação de uma lista de senhas potenciais de violações de dados, listas de senhas comuns ou recursos disponíveis publicamente. Usando uma ferramenta automatizada, atores maliciosos realizam um ataque de dicionário, testando sistematicamente cada senha em relação a uma conta ou sistema alvo. Se uma correspondência for encontrada, o hacker pode obter acesso e realizar ataques ou movimentos subsequentes.

Exemplos

Atores maliciosos usaram dicionários de senhas para quebrar senhas com hash em vários incidentes de segurança de alto perfil, como a violação de dados do Yahoo em 2013 e a violação de dados do LinkedIn em 2012. Isso permitiu que eles roubassem as informações de contas de bilhões de usuários.

Medidas de defesa

Ao criar ou redefinir senhas , os usuários devem usar uma combinação de letras, números e caracteres especiais, e evitar usar palavras comuns ou frases facilmente adivinhadas. Os administradores podem implementar requisitos de complexidade de senha em suas políticas para impor esses mandatos em toda a organização.

Ataques de mesa de arco-íris

Um ataque de tabela arco-íris usa uma tabela especial (ou seja, uma “Tabela Arco-Íris”) composta de strings pré-calculadas ou senhas comumente usadas e hashes correspondentes para quebrar os hashes de senha em um banco de dados.

Como funciona

Os ataques de tabela arco-íris funcionam explorando cadeias de operações de hash e redução para quebrar senhas com hash de forma eficiente. As senhas potenciais são primeiro hash e armazenadas junto com suas contrapartes de texto simples na tabela arco-íris, depois processadas com uma função de redução que as mapeia para novos valores, resultando em uma cadeia de hashes. Esse processo é repetido várias vezes para construir a tabela arco-íris. Quando os hackers obtêm uma lista de hash , eles podem fazer uma pesquisa reversa de cada valor de hash na tabela arco-íris, uma vez que uma correspondência é identificada, a senha de texto simples correspondente é exposta.

Exemplos

Embora o salting (um método de adicionar caracteres aleatórios a senhas antes do hashing) tenha reduzido a eficácia dos ataques de rainbow table, muitos hashes permanecem sem sal; além disso, os avanços em GPUs e hardware acessível eliminaram as limitações de armazenamento antes associadas às rainbow tables. Como resultado, esses ataques continuam a ser uma tática provável em ataques cibernéticos de alto perfil atuais e futuros.

Medidas de defesa

Conforme mencionado anteriormente, os hashes salted reduziram significativamente a eficácia das tabelas pré-computadas; as organizações devem, portanto, implementar algoritmos de hashing fortes (por exemplo, bcrypt, scrypt) em seus processos de senha. Os administradores também devem atualizar e rotacionar as senhas regularmente para reduzir a probabilidade de correspondências/acertos do dicionário rainbow table.