[0x0E] Ataques contra senhas

COMPARTILHAR:

Whatsapp Telegram Twitter Facebook Reddit

Como prevenir seu sistema contra ataques automatizados

Este tutorial faz parte do GUIA COMPLETO do professional em Segurança Ofensiva de Software, saiba mais.

Aula 14: Ataques contra senhas

Senhas fracas são comuns em redes locais e usuários também tendem a repetir senhas. Portanto é possível realizar ataques automatizados para descobrir essas senhas.

Ataques online, offline, de memória e físicos são muito utilizado para descobrir senhas. No caso de ataques online, o tempo de resposta do servidor pode indicar sucesso ou falha bem como deixar vazar algum tipo de dado como nome de usuário.

Existem diversas ferramentas que permitem você realizar quebra de senhas, como Hashcat, John The Ripper, Medusa, THC Hydra, Brutus, RainbowCrack, Aircrack-ng e outras. Assim é possível quebrar serviços HTTP, POP3, IMAP, VNC, SMB, RDP, SSH, LDAP, WiFi, MySQL, FTP, SSL, etc.

O processo de quebra de senha envolve modo incremental (força-bruta) ou wordlist (lista de possíveis senhas).  Na internet você encontra diversos arquivos para download de senhas vazadas de serviços grandes, no Kali mesmo você pode localizar essas wordlist buscando no terminal: locate wordlist

Mas você pode criar a sua própria wordlist visando um alvo específico utilizando ferramentas geradoras de wordlist como CeWL, Wordlister e Crunch.

Senhas geralmente são armazenadas como hashes em vez de texto puro, caso um serviço que você usa lhe fornece a senha em texto puro você não deveria estar utilizando esse serviço. 

No Windows as senhas são armazenadas no SAM (Security Accounts Manager) database. Este arquivo fica em "%SystemRoot%/system32/config/" e fica inacesssível enquanto o Windows está rodando. O Windows utiliza dois tipos de hash, LM e NT.

O formato hash LM processa as senhas de modo insensitivo. Já o formato NT processa o case-sensitive original da senha. Portanto quebrar senhas no formato LM é muito rápido.

Rainbow Tables (tabelas arco-íris) são tabelas com hashes pré-computadas. Portanto utilizando Rainbow Tables contra determinada hash de uma senha pode ser quebrada rapidamente se comparado com ataque por força-bruta. Para contornar isso, é recomendado adicionar salts (um valor aleatório adicionado a senha do usuário) para tornar o ataque inviável.

Então como se defender destes tipos de ataques? 

Contra ataques online é recomendado que os desenvolvedores implementem autenticação em dois fatores, captcha, gerar delay na resposta do servidor, configurar um cookie de dispositivo, permitir usuários apenas de um range específico de IP.

Já do lado do cliente, melhor solução é usar um gerenciador de senhas para evitar repetição e senhas fracas.

Próxima aula, clique aqui.

COMENTÁRIOS

Nome

#ann,25,#HK,30,#LTCode,126,Artigo - Diversos,156,Artigo - Games,200,Artigo - Tecnologia,601,autor-thomaz,7,Coluna - Alternative World,24,Coluna - Fail,12,Coluna - Tec Line,14,Criptomoeda,71,Curiosidades - Diversos,49,Curiosidades - Tecnologia,50,en,2,estudo,8,HN,12,logica,14,Pentest,23,Programar C,29,Programar POO,6,Programar Python,6,Programar Shell,21,Programar verilog,12,Raspberry Pi,15,Redes,3,root,104,Shorty Awards,1,Smartphones - Reviews,33,Teoria,10,Top Nostalgia,2,VPN,19,WhatsApp,46,
ltr
item
Limon Tec: [0x0E] Ataques contra senhas
[0x0E] Ataques contra senhas
Como prevenir seu sistema contra ataques automatizados
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEikJMn5LIEfrtHPEivASNGrjkvEXwlg4pIfsUmJSG3iiHB7Qq2GaWwJER5C7ACwPdzjN3mOJMzZdm6Bafmml93aqYJZ_yJFwmxuidt2RVhJnGRLXV2v545RJExEEpfLRP6o2trej48bX-8CaV9ryot9es4nMq4iCNEvPxcVUu2M8uAvqxo4gECtD5lHKw/w640-h421/limontec_seguranca_ofensiva_software.png
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEikJMn5LIEfrtHPEivASNGrjkvEXwlg4pIfsUmJSG3iiHB7Qq2GaWwJER5C7ACwPdzjN3mOJMzZdm6Bafmml93aqYJZ_yJFwmxuidt2RVhJnGRLXV2v545RJExEEpfLRP6o2trej48bX-8CaV9ryot9es4nMq4iCNEvPxcVUu2M8uAvqxo4gECtD5lHKw/s72-w640-c-h421/limontec_seguranca_ofensiva_software.png
Limon Tec
https://www.limontec.com/2024/02/ataques-contra-senhas-pentest.html
https://www.limontec.com/
https://www.limontec.com/
https://www.limontec.com/2024/02/ataques-contra-senhas-pentest.html
false
2157924926610706248
UTF-8
Carregar todos posts Não encontramos nenhum post VER TUDO Ler mais Responder Cancelar resposta Deletar Por Home PÁGINAS POSTS Ver tudo RECOMENDADO PARA VOCÊ LABEL ARQUIVO SEARCH TODOS POSTS Não encontramos nenhum post relacionado a sua requisição VOLTAR PÁGINA INICIAL Domingo Segunda Terça Quarta Quinta Sexta Sábado Dom Seg Ter Qua Qui Sex Sab Janeiro Fevereiro Março Abril Maio Junho Julho Agosto Setembro Outubro Novembro Dezembro Jan Fev Mar Abr Maio Jun Jul Ago Set Out Nov Dez apenas agora 1 minuto atrás $$1$$ minutes ago 1 hora atrás $$1$$ hours ago Ontem $$1$$ days ago $$1$$ weeks ago mais de 5 semanas atrás Seguidores Seguir ESTE CONTEÚDO ESTÁ BLOQUEADO PASSO 1: Compartilhe com seus amigos PASSO 2: Clique no link compartilhado Copiar Todo Código Selecionar Todo Código Todos códigos foram copiados para seu clipboard Não é possível copiar códigos / textos, por favor aperte [CTRL]+[C] (ou CMD+C no Mac) para copiar Tabela de conteúdo