colaborame escribió:
Asi loigran conseguir pares que hagan más facil la busqueda de fuerza bruta.
Eso es como crear un diccionario "social", algo jodidamente inutil, no hay nada como la "Auténtica Fuerza Bruta(r)" la que es sistemática y funciona en el 100% de los casos (a menos que mueras antes)
¿Por qué es inútil? bueno, por MUY grande que fuera su base de datos sólo habría palabras que los usuarios metiesen, palabras "más o menos" usuales, y que con algunos trucos puedes protegerte de sistemas como ese. Por ejemplo con la sustitución de B en vez de V o J en vez de G. una contraseña como "dabid" o "jiralda" se le ocurriría a pocas personas, más aún si la alternamos con mayúsculas y minúsculas DaBiD, DABid, etc etc no hablo de la inclusión de números como por ejemplo DaB38id, quién carajos pondría esa contraseña?!?! Seguro que estaría esa contraseña en su DB?
Si fuera un proceso automático el que metiese las contraseñas (lo dudo porque "aaaaaa" no está en la DB) Entonces tendría una SUPER-DB con alrededor de 64^4+64^5+64^6+64^7+64^8+64^9+64^10+... hasta 64^N, donde N es la longitud de la contraseña que queremos buscar (si, imagine que una contraseña de 4 dígitos es lo mínimo que se podría pedir) entreténganse en calcular el número de posibilidades para contraseñas de 10 dígitos (64^10). Verán que es muy jodido, entre tantos campos atender a las consultas de una web de forma eficiente.Lo único que te ahorraría varios días de computación, pero lo veo inviable a menos que posean un super-servidor
Una nota, la propia página te miente, diciendo que tienen un MD5|SHA1 decrypter, lo que es ilógico sabiendo que MD5 no se puede desencriptar, sólo atacarle por fuerzas bruta.
SI MD5 y SHA1 son inseguros (actualmente TODOS los métodos de encriptación son inseguros frente ataques de fuerza bruta), ¿como podemos protegernos? Bien, no hay que temer, habría DOS formas de poder sufrir un ataque, una es de forma directa, intentando entrar en nuestra cuenta mediante el navegador|otra_cosa, para liberarnos de este ataque, tendríamos que meter en nuestras funciones de logueo, un mini-script que cada 3,5,7( o los que se deseen) intentos, no acepte más intentos por un periodo de tiempo, por ejemplo 10 minutos, si cada 3 intentos lamáquina atacante ha de parar 10 minutos sólo realizará 18 intentos en 1 hora, frente a los 64^10 necesarios para descifrala...(suponiendo una contraseña de 10 dígitos y que el atacante supiera la longitud de nuestra contraseña), se muere antes.
Para el otro tipo de ataque, tendrían que tener nuestra Base de Datos, la podemos proteger cambiando las carpetas por "default" de los sistemas, por ejemplo NO utilizar tudominio.com/phpMyAdmin y cosas así, pues si se detecta una vulnaverabilidad ZAS!, en cambio si lo tenemos todo fuera del public_html, o incluso en tudominio.com/Ami37Fg dificilmente puedan acceder a nuestras DB. Para el administrador, establecer una "contraverificacion", por ejemplo usar una tarjetita con 100 números en distintas posiciones, todos ellos encriptados en la DB, de manera que al entrar nos pida el número de una posición aleatoria, eso multiplicaría por 100 el número de cuentas a realizar... y es relativamente sencillo de implementar.
Cambiando las contraseñas con frecuencia y algunos tips más hay por ahí[/u][/flash]
