Protección frente a los ataques por fuerza bruta
[03-10-01]
Hoy, en Oxygen3 24h-365d, vamos a referirnos a algunos métodos para prevenir los ataques por fuerza bruta, que consisten en combinar todas las contraseñas posibles y probarlas contra un sistema de autenticación hasta encontrar la que permite el acceso.
Para permitir el acceso a una aplicación determinada un sistema de autenticación suele solicitar una cuenta, un nombre de usuario y su correspondiente contraseña. Por tal motivo, lo primero que necesita conocer un atacante es un nombre de usuario legítimo con el que poder probar posibles combinaciones de contraseñas. En la práctica, una forma de evitar los ataques por fuerza bruta es desactivar y no utilizar los nombres de usuarios por defecto, especialmente aquellos que cuentan con máximos privilegios en el sistema (como, por ejemplo, "Administrador" en Windows NT y 2000 -"Administrator" en las versiones inglesas-).
Cuando los nombres por defecto fallan, los atacantes intentan localizar otros nombres de usuarios con acceso al sistema. En muchas ocasiones los nombres de la dirección de correo electrónico suelen coincidir con los nombres de cuenta que permiten otro tipo de accesos (como, por ejemplo FTP, o administración del sistema). Una buena medida para dificultar que los atacantes localicen nombres de usuario válidos consiste en asignar alias a los buzones de correo, para que así la dirección pública no coincida con el nombre de usuario en el sistema. (Ejemplo: a un usuario con el nombre de usuario "aperez" y dirección de correo electrónico "aperez@servidor.xx", podríamos asignarle un alias de correo como "antonio_perez@servidor.xx", para utilizar como cuenta de correo pública. De esta manera, el nombre de usuario "antonio_perez" no sería útil para llevar a cabo un ataque por fuerza bruta).
Otro aspecto importante que debe tenerse en cuenta es que el sistema de autenticación no devuelva información relevante cuando se produce un error al introducir un nombre de usuario y contraseña. De hecho, es común que el sistema diferencie cuando se ha introducido mal el nombre de usuario o la contraseña con mensajes del tipo: "usuario desconocido" o "password incorrecta". Sin embargo, un buen sistema de autenticación contra ataques por fuerza bruta emitirá siempre un mismo mensaje, como "error en la autenticación", para no facilitar al atacante información que le permita distinguir si el nombre de usuario es válido. Además, el sistema debe bloquear la cuenta y avisar al administrador cuando detecta numerosos intentos fallidos, a fin de prevenir este tipo de ataques.
Artículos de actualidad ...
Archivo de artículos ...
|
