Articles

seis tipos de ataques de contraseña y cómo detenerlos

posted by:
octubre 11, 2020

los ataques de contraseña son una de las formas más comunes de violación de datos corporativos y personales. Un ataque de contraseña es simplemente cuando un hacker intenta robar su contraseña. En 2020, el 81% de las violaciones de datos se debieron a credenciales comprometidas. Debido a que las contraseñas solo pueden contener tantas letras y números, las contraseñas se están volviendo menos seguras. Los Hackers saben que muchas contraseñas están mal diseñadas, por lo que los ataques de contraseñas seguirán siendo un método de ataque mientras se utilicen contraseñas.,

Protéjase de ataques de contraseña con la siguiente información.

Phishing

El Phishing es cuando un hacker que se hace pasar por una parte confiable le envía un correo electrónico fraudulento, con la esperanza de que revele su información personal voluntariamente. A veces te llevan a pantallas falsas de «restablecer tu contraseña»; otras veces, los enlaces instalan código malicioso en tu dispositivo. Destacamos varios ejemplos en el blog de OneLogin.

Aquí hay algunos ejemplos de phishing:

  • phishing Regular. Usted recibe un correo electrónico de lo que parece goodwebsite.,com le pide que restablezca su contraseña, pero no leyó de cerca y en realidad es goodwobsite.com. usted «restablece su contraseña» y el hacker roba sus credenciales.
  • spear phishing. Un hacker objetivos específicamente con un correo electrónico que parece ser de un amigo, colega o asociado. Tiene un breve y genérico blurb («echa un vistazo a la factura que adjunté y hazme saber si tiene sentido.») y espera que haga clic en el archivo adjunto malicioso.
  • Smishing y vishing., Recibe un mensaje de texto (phishing por SMS o smishing) o una llamada telefónica (phishing por voz o vishing) de un hacker que le informa que su cuenta ha sido congelada o que se ha detectado fraude. Usted introduce la información de su cuenta y el hacker se la roba.
  • caza de ballenas. Usted o su organización reciben un correo electrónico supuestamente de una figura senior en su empresa. Usted no hace su tarea en la veracidad del correo electrónico y enviar información sensible a un hacker.,

para evitar ataques de phishing, siga estos pasos:

  • compruebe quién envió el correo electrónico: mire la línea de: en cada correo electrónico para asegurarse de que la persona que dice ser coincide con la dirección de correo electrónico que espera.
  • vuelva a comprobar con la fuente: en caso de duda, póngase en contacto con la persona de la que proviene el correo electrónico y asegúrese de que sea el remitente.
  • consulte con su equipo de TI: el Departamento de TI de su organización a menudo puede decirle si el correo electrónico que recibió es legítimo.,

ataque Man-in-the-middle

Los Ataques Man-in-the-middle (MitM) son cuando un hacker o sistema comprometido se encuentra entre dos personas o sistemas sin compromisos y descifra la información que se están pasando entre sí, incluidas las contraseñas. Si Alice y Bob están pasando notas en clase, pero Jeremy tiene que transmitir esas notas, Jeremy tiene la oportunidad de ser el hombre en el medio., Del mismo modo, en 2017, Equifax eliminó sus aplicaciones de la App Store y Google Play store porque estaban pasando datos confidenciales a través de canales inseguros donde los hackers podrían haber robado la información de los clientes.

para ayudar a prevenir los ataques man-in-the-middle:

  • habilite el cifrado en su enrutador. Si cualquier persona de la calle puede acceder a su módem y enrutador, puede usar la tecnología «sniffer» para ver la información que se pasa a través de él.
  • utilice credenciales fuertes y autenticación de dos factores. Muchas credenciales de enrutador nunca se cambian del nombre de usuario y contraseña predeterminados., Si un hacker obtiene acceso a la administración de su enrutador, puede redirigir todo su tráfico a sus servidores hackeados.
  • Use una VPN. Una red privada virtual (VPN) segura ayudará a prevenir los ataques man-in-the-middle al garantizar que todos los servidores a los que envía datos sean de confianza.

ataque de fuerza bruta

Si una contraseña es equivalente a usar una llave para abrir una puerta, un ataque de fuerza bruta es usar un ariete. Un hacker puede intentar 2.,18 trillones de combinaciones de contraseña / nombre de usuario en 22 segundos, y si su contraseña es simple, su cuenta podría estar en el punto de mira.

para ayudar a prevenir ataques de fuerza bruta:

  • Use una contraseña compleja. La diferencia entre una contraseña de seis dígitos en minúsculas y alfabética y una contraseña de diez dígitos en mayúsculas y minúsculas es enorme. A medida que aumenta la complejidad de su contraseña, disminuye la probabilidad de un ataque de fuerza bruta exitoso.
  • Habilitar y configurar el acceso remoto. Pregunte a su departamento de ti si su empresa utiliza la administración de acceso remoto., Una herramienta de gestión de acceso como OneLogin mitigará el riesgo de un ataque de fuerza bruta.
  • requiere autenticación multifactor. Si la autenticación multifactor (MFA) está habilitada en su cuenta, un hacker potencial solo puede enviar una solicitud a su segundo factor para acceder a su cuenta. Es probable que los Hackers no tengan acceso a su dispositivo móvil o huella digital, lo que significa que estarán bloqueados de su cuenta.,

ataque de diccionario

un tipo de ataque de fuerza bruta, los ataques de diccionario se basan en nuestro hábito de elegir palabras «básicas» como nuestra contraseña, las más comunes de las cuales los hackers han recopilado en «diccionarios de cracking».»Los ataques de diccionario más sofisticados incorporan palabras que son personalmente importantes para usted, como el lugar de nacimiento, el nombre de un niño o el nombre de una mascota.

para ayudar a prevenir un ataque de diccionario:

  • Nunca use una palabra de diccionario como contraseña. Si lo has leído en un libro, nunca debería formar parte de tu contraseña., Si debe usar una contraseña en lugar de una herramienta de administración de acceso, considere usar un sistema de administración de contraseñas.
  • bloquear cuentas después de demasiados errores de contraseña. Puede ser frustrante ser bloqueado de su cuenta cuando se olvida brevemente una contraseña, pero la alternativa es a menudo la inseguridad de la cuenta. Date cinco o menos intentos antes de que tu aplicación te diga que te enfríes.
  • considere invertir en un administrador de contraseñas. Los administradores de contraseñas generan automáticamente contraseñas complejas que ayudan a prevenir ataques de diccionario.,

Credential stuffing

Si ha sufrido un hackeo en el pasado, sabe que sus contraseñas antiguas probablemente se filtraron en un sitio web de mala reputación. El relleno de credenciales aprovecha las cuentas que nunca cambiaron sus contraseñas después de un robo de cuenta. Los Hackers probarán varias combinaciones de nombres de usuario y contraseñas anteriores, con la esperanza de que la víctima nunca los haya cambiado.

para ayudar a evitar el relleno de credenciales:

  • supervise sus cuentas., Hay servicios de pago que monitorearán sus identidades en línea, pero también puede usar servicios gratuitos como haveIbeenpwned.com para comprobar si su dirección de correo electrónico está conectada a cualquier fuga reciente.
  • cambie regularmente sus contraseñas. Cuanto más larga sea una contraseña Sin cambios, más probable es que un hacker encuentre una manera de descifrarla.
  • utilice un gestor de contraseñas. Al igual que un ataque de diccionario, muchos ataques de relleno de credenciales se pueden evitar al tener una contraseña fuerte y segura. Un gestor de contraseñas ayuda a mantenerlos.,

Keyloggers

los Keyloggers son un tipo de software malicioso diseñado para rastrear cada pulsación de tecla y reportarlo a un hacker. Por lo general, un usuario descargará el software creyendo que es legítimo, solo para que instale un keylogger sin previo aviso.

para protegerse de los keyloggers:

  • Compruebe su hardware físico. Si alguien tiene acceso a su estación de trabajo, puede instalar un keylogger por hardware para recopilar información sobre sus pulsaciones de teclado., Inspeccione regularmente su computadora y el área circundante para asegurarse de conocer cada pieza de hardware.
  • ejecute un análisis de virus. Utilice un software antivirus de buena reputación para escanear su computadora de forma regular. Las compañías de Antivirus mantienen sus registros de los keyloggers de malware más comunes y los marcarán como peligrosos.

prevención de ataques de contraseña

la mejor manera de corregir un ataque de contraseña es evitar uno en primer lugar., Pregunte a su profesional de TI sobre la inversión proactiva en una política de seguridad común que incluya:

  • autenticación multifactor. El uso de un token físico (como un Yubikey) o un dispositivo personal (como un teléfono móvil) para autenticar a los usuarios garantiza que las contraseñas no sean la única puerta de acceso.

  • acceso Remoto. El uso de una plataforma de acceso remoto inteligente como OneLogin significa que los sitios web individuales ya no son la fuente de confianza del usuario. En su lugar, OneLogin se asegura de que se confirme la identidad del usuario y, a continuación, inicia sesión en él.

  • la Biometría., A un actor malicioso le resultará muy difícil replicar su huella digital o forma facial. Habilitar la autenticación biométrica convierte su contraseña en solo uno de los varios puntos de confianza que un hacker necesita superar.

Related Posts

Beneficios de la Sauna: calorías quemadas

enero 29, 2021

cómo fumar kief

agosto 21, 2020

Tamaños de camarones (cuántos camarones en una Libra)

enero 21, 2021

Leave a Reply