¿Qué es el descifrado de diccionarios?

El llamado "ataque de diccionario" consiste en utilizar listas prefabricadas, como palabras en inglés, números de cumpleaños, varias contraseñas de uso común, etc. y utilizan contraseñas que son demasiado cortas o demasiado simples para que las descifre la gente común, lo que acorta en gran medida el tiempo de descifrado.

Se necesita mucho tiempo para descifrar una contraseña bastante larga que puede contener una variedad de caracteres. Una solución es utilizar un diccionario.

Por ejemplo, una contraseña que se sabe que tiene cuatro dígitos y está compuesta enteramente por números arábigos puede * * * tener 10.000 combinaciones y le llevará hasta 9.999 intentos encontrar la contraseña correcta. En teoría, cualquier contraseña se puede descifrar con este método, excepto las contraseñas muy seguras. El único problema es cómo acortar el tiempo de prueba y error.

Algunas personas usan computadoras para mejorar la eficiencia, mientras que otras usan ataques de diccionario para limitar el rango de combinaciones de contraseñas.

Si una contraseña de varios dígitos contiene todos los caracteres posibles anteriores, el método de combinación debe ser sorprendente. Con cada dígito adicional, el número de combinaciones de contraseña se duplicará docenas de veces y el tiempo de decodificación será. También será más largo, a veces hasta décadas (incluso teniendo en cuenta los avances en el rendimiento de las computadoras según la Ley de Moore), o incluso más.

Debido a que el tiempo consumido por el método exhaustivo no es menor que el tiempo polinómico requerido para completar el craqueo, desde un punto de vista criptográfico, el método exhaustivo no se considera un método de craqueo efectivo.

Medidas de protección

El medio más importante es establecer objetivos de diseño del sistema que sean difíciles de romper incluso mediante ataques de fuerza bruta. Estas son algunas medidas de protección comunes:

1. Aumente la longitud y la complejidad de las contraseñas.

2. Limitar el número de intentos de contraseña en el sistema.

3. En la verificación de contraseña, el resultado de la verificación no se devolverá inmediatamente, sino que se devolverá después de un retraso de varios segundos.

4. Limitar el rango de clientes autorizados a iniciar solicitudes.

5. Prohibir solicitudes de ingreso de contraseña que sean demasiado frecuentes.

6. Configure su contraseña para que cambie periódicamente como un token de seguridad.

7. Cuando el número de entradas de contraseña incorrectas de la misma fuente excede un cierto umbral, el administrador del sistema será notificado inmediatamente por correo electrónico o SMS.

8. Sistema de monitoreo manual para confirmar si hay alguna anomalía en la prueba y error de la contraseña.

9. Utiliza la autenticación de dos factores. Por ejemplo, cuando un usuario inicia sesión con su cuenta y contraseña, el sistema también envía un mensaje de texto al teléfono móvil del usuario y el usuario debe ingresar el código de verificación en el mensaje de texto.