search
A mídia que reinventa a empresa
Registrar un software

Ataque de dicionário: e se um dicionário de senhas fosse a solução?

Ataque de dicionário: e se um dicionário de senhas fosse a solução?

Por Jennifer Montérémal

Em 29 de outubro de 2024

Você sabia que existem dicionários de senhas disponíveis gratuitamente na Internet?

Embora isso possa parecer assustador à primeira vista, pois significa que os hackers podem usá-los, também há benefícios para as empresas!

Como elas podem fazer isso?

Neste artigo, examinaremos mais de perto o conceito de listas de senhas e explicaremos como você pode usá-las para se proteger contra ataques de dicionário. Também daremos algumas dicas sobre como tornar as senhas que você usa na sua organização ainda mais seguras.

O que é um dicionário de senhas?

Definição de um dicionário de senhas

Um dicionário de senhas, também conhecido como lista de senhas, compila um conjunto de senhas, geralmente hackeadas ou provenientes de violações de segurança.

Esses dicionários têm duas finalidades.

Em primeiro lugar, são úteis para os hackers que usam ataques de dicionário. Após invasões de contas, como a realizada no LinkedIn em 2012 (que teve as informações de 100 milhões de usuários roubadas), os hackers geralmente disponibilizam os dados obtidos na Internet, principalmente vendendo-os na dark web.

Mas a boa notícia é que o conteúdo dessas listas de senhas também é benéfico para indivíduos e empresas: graças a elas, é possível verificar se suas senhas estão incluídas.

Por exemplo, os CIOs e os gerentes de segurança das organizações podem usá-las para simular ataques de dicionário, verificando assim a vulnerabilidade das senhas usadas por sua equipe. De fato, o NIST, o equivalente americano da ANSSI, inclui esse tipo de verificação em suas recomendações.

Ataques de dicionário

Para entender melhor como as listas de senhas podem ajudá-lo, precisamos examinar o conceito de ataques de dicionário.

Os ataques de dicionário são um dos ataques cibernéticos mais comuns, juntamente com os ataques de força bruta e as tentativas de phishing.

Eles consistem em testar uma série de possíveis palavras, uma após a outra, usando um determinado dicionário, até que a palavra certa seja encontrada.

Para fazer isso, os hackers usam :

  • listas de senhas que já foram divulgadas,
  • termos contidos nos dicionários mais comuns,
  • variações :
    • combinações de caracteres usadas com frequência (abc123),
    • senhas modificadas usando leet speak, um método que consiste em usar caracteres visualmente próximos aos caracteres iniciais ("MOTDEPASSE" torna-se "M07D3P4553"),
    • repetições (senha-senha),
    • palavras que incluem o nome da organização-alvo ou uma designação semelhante, etc.
  • outros tipos de listas, como :
    • datas de nascimento ou datas de eventos famosos,
    • sobrenomes,
    • placas de identificação, etc.

☝️ Se esse tipo de ataque funciona, é porque muitos usuários da Internet permanecem descuidados e continuam a usar termos comuns ou cadeias de caracteres para construir suas senhas, em particular :

  • nomes próprios (nome, cidade, país, etc.),
  • substantivos comuns (animal, adjetivo, etc.),
  • sequências lógicas de números (123 456), etc.

Onde posso baixar dicionários de senhas?

Você é um CIO e está procurando acesso aos famosos dicionários de senhas para testar a segurança da sua empresa?

Há muitos deles por aí, então vamos dar uma olhada nos principais.

O dicionário de senhas CrackStation

A lista de senhas do CrackStation foi publicada pelo famoso hacker Stun... e contém nada menos que 1.493.677.782 palavras!

O motivo pelo qual esse dicionário de senhas gratuito disponível como torrent é tão abrangente é que ele foi compilado a partir de várias fontes:

  • hits do dicionário
  • listas de senhas de hacks recentes, encontradas na Internet,
  • termos dos bancos de dados da Wikipedia (em todos os idiomas),
  • palavras de livros do Project Gutenberg, uma biblioteca eletrônica de obras principalmente de domínio público.

Projeto Richelieu

O projeto Richelieu produziu um dicionário de senhas gratuito, distribuído no GitHub sob uma licença Creative Commons Attribution.

Ele fornece uma lista das 20.000 senhas francesas usadas com mais frequência nos últimos anos, derivadas de vazamentos de dados e associadas a endereços de e-mail com um nome de domínio ".fr".

O dicionário de senhas do Kali Linux

O Kali Linux é uma solução de código aberto que reúne várias ferramentas relacionadas à segurança de TI, usadas especialmente para realizar testes de penetração.

Entre elas está o Crunch, que permite a geração de dicionários de senhas para a realização de testes de ataque de dicionário.

Observe também que, com o ambiente Kali Linux, é possível acessar o Hydra, uma ferramenta de quebra de senhas que ajuda a simular ataques de dicionário, bem como ataques de força bruta.

Software Specops Password Policy

O software Specops Password Policy ajuda as empresas que usam o Active Directory a gerenciar sua política de senhas.

Para ajudar as organizações a se protegerem contra ataques de dicionário, a solução inclui um sistema de filtragem de senhas baseado em um dicionário que contém vários bilhões de entidades de ataques importantes:

  • o vazamento Collection #1-5
  • a lista Have I Been Pwned compilada pelo especialista em segurança Troy Hunt, etc.

Dessa forma, se um funcionário escolher uma senha dessa lista, o software o avisará para mudar para uma opção mais segura.

Nossa orientação sobre proteção contra ataques de dicionário

Além de usar listas de senhas, uma boa proteção contra ataques de dicionário envolve a adoção de comportamentos básicos de segurança, como os recomendados pela ANSSI.

Adoção de boas práticas de senha

Em primeiro lugar, é necessário tornar suas senhas mais complexas, para que você esteja completamente protegido contra ataques de dicionário e fortemente protegido contra ataques de força bruta.

A senha ideal é composta da seguinte forma:

  • ter entre 8 e 12 caracteres (mais, se possível),
  • conter uma combinação de caracteres especiais, letras maiúsculas, letras minúsculas e números.

E, é claro, como você já deve ter percebido, ela não deve se referir a nada que já exista, como uma palavra no dicionário ou uma palavra em um site da Web.Como palavras no dicionário ou sequências "lógicas", como datas de eventos famosos.

Por fim, outras boas práticas devem ser observadas:

  • renove sua senha regularmente (a cada 90 dias, de acordo com a ANSSI),
  • não use a mesma senha para várias contas,
  • limitar o número de tentativas de login autorizadas, por exemplo, a três.

Salgando senhas

As senhas geralmente são armazenadas em forma de hash para que não sejam armazenadas sem criptografia nos aplicativos.

O problema é que os hackers têm dicionários, conhecidos como tabelas arco-íris, que podem contornar esse sistema.

É aí que entra a salga de senha: ela adiciona uma sequência de bits aleatórios à senha usada, o que dificulta o uso de tabelas rainbow.

Uso de um gerenciador de senhas

Convenhamos, muitas vezes é difícil gerar senhas memoráveis que sejam complexas e exclusivas.

É por isso que recomendamos o uso de um gerenciador de senhas. Com esse tipo de software, tudo o que você precisa fazer é memorizar uma senha mestra para fazer login em suas várias contas com total segurança.

Agora você conhece a utilidade dos dicionários de senhas. Agora cabe a você fazer bom uso deles e observar todas as regras básicas de segurança de TI para proteger sua empresa da forma mais eficaz possível contra ataques cibernéticos.

Artigo traduzido do francês