El ataque del diccionario asesino y los passwords
Hoy uno de los sitios que debo administrar tuvo problemas con los emails. Los usuarios de las cuentas de correo no podían enviar mensajes usando el SMTP del dominio y el error que daba Outlook era el siguiente:
Connection denied after dictionary attack
Un dictionary attack es cuando alguien trata de adivinar un password mediante el uso de un software que usa como base las palabras del diccionario y otras palabras de uso común. El uso de este método se basa en la idea de que los usuarios comúnmente usan palabras muy simples y que eventualmente vas a acertar y lograr acceso a la cuenta. La presunción de los hackers es bastante acertada, en general las personas ponen muy poca atención a su password y a lo que este significa en términos de seguridad. Yo como medida asigno los passwords, así me evito que alguien use la palabra “perro”, “gato”, “1234″ o su nombre y este sea fácil de adivinar. Lo “ideal” es que un password sea alfanumérico (letras y números) de 8 caracteres y con altas y bajas aunque hay sistemas que no consideran este último punto.
Bueno para finalizar la historia, el ataque no tuvo efecto, pero el servidor bloqueó el envío de emails lo que solucionó rápidamente nuestro proveedor. Un mal menor comparado al hecho de que alguien use tu servidor de email para enviar seguramente spam.
Friday 25 de November de 2005 a las 1:08 am
Yo soy muy cuidadoso con los passwords :).
De hecho, tengo escrito debajo del teclado todos los passwords que uso, los genero a mano con más de 12 digitos alternando signos, letras y numeros. De hecho, está comprobado que al usar “ñ” en los passwords, los programas de “Fuerza Bruta” más usados son incapaces de descifrar los passwords porque no incluyen ñ en su diccionario.
No todos los sistemas permiten ñ, así que asesorarse primero jeje :D.
Friday 25 de November de 2005 a las 10:09 am
“…tengo escrito debajo del teclado todos los passwords que uso…” Estimado Drask, creo que eso de anotar bajo el teclado las contraseñas no es muy cuidadoso de tu parte, es más, lo considero una gran y posible falla en la seguridad. Supongo que ese teclado está en algún lugar donde nadie tiene acceso a el, NA-DIE ¿Que sentido tiene generar una contraseña de X dígitos con Y complejidad si está disponible a quien simplemente de vuelta el teclado?.
Friday 25 de November de 2005 a las 12:06 pm
yo uso alfanuméricos de 8 caracteres pero me los aprendo de memoria. Claro que el día que la empice a perder, sonaron todas mis cuentas.
Friday 25 de November de 2005 a las 7:20 pm
Digo… y quien querría entrar a revisar mis cuentas con solo voltear el teclado… mi mamá…?. No lo creo :).
El teclado es personal, es el teclado de mi casa, no el de mi trabajo, escuela…
Mis passwords más que nada son seguros para evitarselos a usuarios “malintencionados” y software para crackear. Si lo guardara en mi PC, da lo mismo, incluso hasta los puedo perder si en una de esas se va la luz y Windows se petatea.
Friday 25 de November de 2005 a las 9:17 pm
“…El teclado es personal, es el teclado de mi casa…” no es tuyo?
Saturday 26 de November de 2005 a las 3:46 am
Obvio que es mío :P… “… personal…”
Sunday 27 de November de 2005 a las 12:52 pm
This is an automatically generated Delivery Status Notification.
SMTP_Error []
I’m afraid I wasn’t able to deliver your message.
This is a permanent error; I’ve given up. Sorry it didn’t work out.
The full mail-text and header is attached!
este fué un mensaje que encontre en mi bandeja de correos NO deseados y este mensaje se repetia otras tres veces, lo curioso es que estaba dirigido a correos diferentes que no conosco y procedian de correos diferentes que tampoco conosco! tambien cada uno incluye un adjunto en formato .zip
Datos adjuntos: mail_body.zip (0.05 MB) Datos adjuntos: reg_pass-data.zip (0.05 MB)
acaso me estan haciendo brujeria? o quizas quieren entrar a mi cuenta de correo?
Sunday 27 de November de 2005 a las 1:15 pm
no, sólo que algien usó tu dirección de email para enviar spam.
Sunday 27 de November de 2005 a las 7:26 pm
encerio?!!!
ahhh! ok! muchas gracias, eso ya no suena tan feo, y parece que a cualquiera le puede pasar no?!
lo malo es que parece que siguen enviandolos porque otravez aparecio un correo mas.
Sunday 27 de November de 2005 a las 8:43 pm
mejor acostúmbrate, a mi me pasa muy seguido, es molesto pero mientras no bajaes ni abras ninguno de los archivos no vas a tener problemas.
Saturday 14 de July de 2007 a las 11:37 pm
tadalafil
ewokarol oofuqf
Wednesday 18 de July de 2007 a las 6:01 am
augmentin
aej kous
Thursday 2 de August de 2007 a las 8:22 am
tadalafil
aarq ulogiti
Thursday 16 de August de 2007 a las 9:28 am
acyclovir
iqele hmua
Tuesday 21 de August de 2007 a las 1:18 am
Eso de escribir bajo el teclado los password me parecio bastante ocurrente obviamente no lo voy a ser por mas teclado personal que tenga
Friday 24 de August de 2007 a las 10:51 am
ativan 0.5 mg
aacibx raogok
Friday 28 de September de 2007 a las 12:07 pm
[...] XP. Luego de eso se comenzaba con el crackeo de los hashes, desde programas como SAMInside, con diccionarios de passwords o con fuerza bruta. Al final, después de unas 4 horas, dependiendo de la dificultad del password, [...]
Saturday 29 de September de 2007 a las 2:46 pm
[...] XP. Luego de eso se comenzaba con el crackeo de los hashes, desde programas como SAMInside, con diccionarios de passwords o con fuerza bruta. Al final, después de unas 4 horas, dependiendo de la dificultad del password, [...]
Thursday 6 de December de 2007 a las 6:58 am
un sitio donde den passwords de calidad?
y que sean faciles de recordar
chao