Empezamos la semana con una entrada de Hacking 101 donde aprendemos conceptos básicos e iniciales relacionados con seguridad informática, en el buscador si pones Hacking 101 tendrás las entradas respectivas.
Hoy aprenderemos y conoceremos un poco más del término Password Spraying y como se diferencia del ataque de Fuerza Bruta, aunque al final ambos tienen el mismo objetivo obtener acceso a una cuenta.
Vale aclarar que la forma de obtener los usuarios o contraseñas en ambas pruebas depende del pentester (atacante) de donde las obtiene ya sea de Leaks o perfilando el servicio o donde se realiza la prueba.
¿Qué es Brute Force?
Un ataque de fuerza bruta, consiste en probar múltiples contraseñas sobre un usuario, esperando que en el listado de contraseñas utilizado este la del usuario, este ataque es realizado sobre algún servicio en específico.
Esta prueba puede ocasionar muchas veces un bloqueo de las cuentas y potencialmente caída del servicio. ¿A quién no le paso bloquear cuentas en Dominio o de algún servicio en particular?
Debido a que muchas aplicaciones tienen controles para que después de X intentos se bloquee una cuenta, los ataques de Fuerza bruta se ven inútiles ante ello.
¿Qué es Password Spraying?
Password spraying consiste en probar una contraseña contra múltiples usuarios, siendo también viable realizar esta tarea después de X tiempo con diferentes contraseñas, pero siempre buscando que sea mínimo y que no sea identificado, ya que al realizar esta tarea tenemos una mayor oportunidad a que ninguna cuenta se bloquee y seguir probando más credenciales.
¡Siempre debemos tener en cuenta y mucho cuidado en utilizar correctamente las herramientas que estemos usando, y además algo muy importante evitar utilizar herramientas que previamente no hayan sido testeadas en ambiente controlado por favor! Evitemos ser monos con gillet.
Regards,
Snifer