2017­6­25 2 Tipos de Ataques de Senha ­ HowAgain.

com

2 Tipos de Ataques de Senha
Se você fosse um estudante em uma aula de autodefesa, Postado por  C. Taylor 16 de novembro de 2016
você poderia obter essa tarefa de casa: Mentalmente fingir ser um assaltante, ir a um lugar público, escolher
suas vítimas teóricas, identificar por que você escolheu esses alvos e, em seguida, refletir esses
comportamentos de volta você mesmo. Você ficaria impressionado com a forma como suas vulnerabilidades
anteriormente negligenciadas surgiriam.

Então, nos próximos artigos, eu quero que você tome uma abordagem semelhante. Coloque­se na mente de
um hacker, então você entende o que você enfrenta quando decide uma senha ou implementa uma
estratégia de defesa. Não olhe apenas a sua senha, como você normalmente faz, porque, inevitavelmente,
você irá justificar sua escolha. Em vez disso, olhe para ele como um hacker que quer quebrar senha, então
em vez de justificar, você está detectando fraquezas. Assim como o cenário de auto­defesa acima, você pode
ficar chocado com a vulnerabilidade da sua senha. E ao reconhecer esse fato, você pode tomar medidas para
se proteger antes que seja tarde demais.

Neste artigo, vou explicar os dois cenários principais que os hackers enfrentam quando tentam adquirir suas
senhas. Este será um artigo de teste para iniciar uma discussão mais aprofundada sobre a metodologia de
cada tipo de ataque.

Senhas on­line
"Senhas online" significa que um hacker deve atacar sua senha através de algum tipo de sistema de
autenticação baseado na Internet , como um formulário de login da Web. Exemplos desse sistema incluem
acessar sua conta bancária, e­mail ou conta do DropBox na Web. Discutiremos métodos de ataque contra
senhas online nos próximos dias.

É importante esclarecer que esse cenário não descreve a acessibilidade de um arquivo ou sistema protegido
por senha; Isso simplesmente significa que o próprio ataque acontece através de uma interface online. Por
exemplo, se um hacker tentasse acessar sua conta DropBox, seria um ataque on­line. No entanto, se ele
pegasse um arquivo protegido por senha da conta para quebrar localmente, seria um ataque off­line.

O cenário de senha online que enfrenta um hacker é o seguinte:

O hacker não possui acesso local ao arquivo ou sistema, portanto ele deve penetrar no sistema de
autenticação.
O sistema de autenticação "relógios" tenta tentar identificar logins potencialmente fraudulentos, pelo que
o hacker deve ter cuidado para evitar a detecção.
O número de tentativas é muitas vezes limitado, de modo que após um certo número de tentativas
incorretas, a conta bloqueia ou o seu IP fica bloqueado.
Como o número de tentativas é limitado, um hacker não pode "forçar a força" no sistema, tentando
todas as permutações possíveis ou usando uma grande lista de senhas anteriormente expostas.
O hacker geralmente deve adquirir informações sobre o usuário para implementar um ataque
direcionado e superar essas limitações.
Às vezes, a senha pode ser contornada através da opção de recuperação de senha esquecida.
Às vezes, o sistema bloqueia determinados intervalos de endereços IP, de modo que um hacker
precisaria de uma VPN ou proxy para alterar seu endereço IP.

http://howagain.com/2­types­of­password­attacks/ 1/3
2017­6­25 2 Tipos de Ataques de Senha ­ HowAgain.com

Se um sistema estiver bloqueado para um determinado dispositivo ou também requer um código de
SMS, o hacker precisaria acessar o dispositivo; É por isso que a autenticação de dois fatores é tão
altamente recomendada.

Este cenário de senha online é muito mais difícil de atacar do que uma senha off­line. Como tal, os hackers
podem tentar infiltrar o servidor que hospeda o site na esperança de encontrar uma lista de senha de todos
os usuários. Esta lista pode ser em texto simples, que é imediatamente legível, ou pode ser esmagada e
precisa ser quebrada. Uma vez que essa lista é adquirida, agora é um cenário de senha offline.

Senhas fora de linha
" Senhas fora de linha" significa que o arquivo ou o sistema está disponível localmente para um
ataque. Pode ter sido baixado da Internet, mas o próprio ataque está acontecendo offline. No exemplo
DropBox da seção Online Passwords, o arquivo protegido por senha baixado seria um ataque de senha off­
line.

Outros exemplos de um cenário de senha off­line seria um arquivo Word, Excel ou PDF protegido por senha,
um banco de dados de gerenciador de senhas roubado, um arquivo de contêiner TrueCrypt ou VeraCrypt ou
uma lista de senha hash. O último seria adquirido a partir de um servidor de site e inclui uma lista de senhas
de todos os usuários, mas essas listas podem ser "hash", o que significa que eles são de um jeito
criptografados para transformar, por exemplo, "senha" em "5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8;
"Assim, eles precisam ser quebrados.

Este cenário é preferido pelo hacker, porque ele tem mais controle sobre o ataque e é praticamente ilimitado
em sua abordagem. Também é importante notar que quase todos os métodos de ataque de senha on­line
também podem ser usados   offline, mas o hacker também possui poderosos métodos off­line à sua
disposição.

O cenário da senha offline é o seguinte:

Ele tem acesso local ao arquivo ou sistema de destino.
Não há limite no número de tentativas falhadas que podem ser feitas.
Geralmente, não há limitação de velocidade na tentativa de várias senhas. Dito isto, alguns arquivos ou
sistemas, como gerenciadores de senhas ou arquivos de contêiner de VeraCrypt, podem empregar o
alongamento de chave que retarda os ataques de tipo de força bruta.
Ele possui uma grande quantidade de ferramentas disponíveis para automatizar o ataque.
Ele tem uma combinação de listas de senhas adquiridas anteriormente, dicionários e regras baseadas
em psicologia para testar configurações de senha.
Ele pode ter computadores customizados, high­end ou vários computadores ligados, para disparar
através de várias permutações de senha. Por exemplo, a Electronic Frontier Foundation criou o EFF
DES Cracker em 1998 (isso é quase duas décadas atrás!), Que poderia atrapalhar 88 bilhões
de possibilidades por segundo .
As senhas on­line podem ser expostas a ataques off­line se o servidor for vulnerável à infiltração; Isso
está fora do controle de qualquer usuário.
Pelo menos para listas de senha hash, a vulnerabilidade das senhas de outros usuários pode expor sua
própria senha correspondente.

Lembre­se de que "senha off­line" significa que a senha está disponível para o hacker localmente. Isso
também significa que qualquer arquivo que você coloca em linha é potencialmente baixado e, portanto,

É por isso que eu pessoalmente prefiro arquivos importantes, como um
http://howagain.com/2­types­of­password­attacks/ banco 2/3
2017­6­25 2 Tipos de Ataques de Senha ­ HowAgain.com

vulnerável a ataques off­line. É por isso que eu pessoalmente prefiro arquivos importantes, como um banco
de dados KeePass Password Safe , para ficar offline e apenas em meu próprio computador. Sempre que
colocar um arquivo sensível em linha, você o expõe a riscos adicionais.

Esteja atento aos próximos artigos sobre senhas offline e on­line para obter mais detalhes sobre como esses
ataques são implementados.

Atualizado: 3 de novembro de 2016 às 3:56 da manhã

http://howagain.com/2­types­of­password­attacks/ 3/3