Atac de diccionari
Un atac de diccionari és un mètode de cracking que consisteix a intentar esbrinar una contrasenya provant totes les paraules del diccionari. Aquest tipus d'atac sol ser més eficient que un atac per la força bruta, ja que molts usuaris solen utilitzar una paraula existent en la seva llengua com a contrasenya perquè la clau sigui fàcil de recordar, cosa que no és una pràctica recomanable.
Els atacs de diccionari tenen poques probabilitats d'èxit amb sistemes que utilitzen contrasenyes fortes amb lletres en majúscules i minúscules barrejades amb números i amb qualsevol altre tipus de símbols. No obstant això, per a la majoria dels usuaris recordar contrasenyes complexes resulta complicat. Hi ha variants que comproven també algunes de les típiques substitucions (determinades lletres per números, intercanvi de dues lletres, abreviacions), així com diferents combinacions de majúscules i minúscules.
Consells pràctics
[modifica]Una pràctica bastant habitual per utilitzar contrasenyes que siguin fàcils de recordar i alhora no siguin vulnerables als atacs de diccionari és prendre les inicials de totes les paraules d'una oració que tingui algun significat especial per a nosaltres. Per exemple, si prenem la frase "La meva primera bicicleta va ser una BH210 que em va regalar el meu avi Francisco" , la contrasenya resultant seria la següent: LmpbvsuBH210qevremaF . Aquesta contrasenya barreja lletres i números, que amb els seus 16 caràcters és relativament llarga, i seria bastant difícil de trencar mitjançant un atac de força bruta, suposant que l'algorisme de xifrat elegit sigui prou segur. No obstant això, per a l'usuari en qüestió segurament sigui bastant fàcil de recordar.
Una altra solució habitual per no haver de memoritzar un nombre elevat de contrasenyes complexes és utilitzar un gestor de contrasenyes. Aquests programes també ens poden ajudar a generar contrasenyes segures.
Protecció enfront dels atacs
[modifica]Una manera senzilla de protegir un sistema contra els atacs de força bruta o els atacs de diccionari és establir un nombre màxim de temptatives . D'aquesta manera es bloqueja el sistema automàticament després d'un nombre d'intents infructuosos predeterminat. Un exemple d'aquest tipus de sistema de protecció és el mecanisme emprat en les targetes SIM que es bloquegen automàticament després de tres intents fallits en introduir el codi PIN.
Exemples d'eines
[modifica]A continuació es llisten algunes de les eines més populars per dur a terme atacs de diccionari.
Nota : les eines que es llisten a continuació no són necessàriament usades amb fins il·lícits. Els administradors de sistemes les solen utilitzar per a comprovar quins usuaris no estan utilitzant contrasenyes prou segures i d'aquesta manera poder avisar.
- Crack d'Alec Muffett
- John the Ripper
- L0phtCrack
- Cain
- Cain