Ataque de fuerza bruta

En criptografía, se denomina ataque de fuerza bruta a la forma de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso.

Este enfoque no depende de tácticas intelectuales; más bien, se basa en hacer varios intentos.

Contraseñas que sólo utilicen dígitos numéricos serán más fáciles de descifrar que aquellas que incluyen otros caracteres como letras, así como las que están compuestas por menos caracteres serán también más fáciles de descifrar, la complejidad impuesta por la cantidad de caracteres en una contraseña es logarítmica.

La fuerza bruta suele combinarse con un ataque de diccionario, en el que se encuentran diferentes palabras para ir probando con ellas.

Estos tipos de ataques, no son rápidos, para una contraseña compleja, puede llegar a tardar siglos (aunque también depende de la capacidad de operación del ordenador que lo ejecute).

En la actualidad este tipo de ataques son usados para hackear Facebook, correos electrónicos, auditar redes WiFi[3]​ y otras redes sociales.

Se puede calcular la cantidad de posibles contraseñas.

Evidentemente, puesto que la contraseña se desconoce, no se sabe cuán larga es, ni cuáles caracteres contiene; sin embargo, de momento consideremos una contraseña de exactamente

Pero esto es suponiendo que la contraseña es exactamente de

Sabemos que la contraseña desconocida no necesariamente será de

", e incluso caracteres de otros alfabetos como el griego o el japonés, y cualquier carácter UNICODE), aunque omitiremos este hecho y nos conformaremos con el conjunto anterior.

El resultado de esta suma es el siguiente: posibles contraseñas.

Obviamente en realidad no es necesario probarlas todas; se requerirían

intentos sólo si por muchísima casualidad el último intento de contraseña es el correcto, pero la probabilidad de que eso ocurra es prácticamente 0; en cambio, podemos asumir que en promedio se adivinará la clave cuando se haya probado la mitad de las posibles combinaciones, es decir

Este número es muy grande, por lo que puede tomar mucho tiempo en encontrar la contraseña correcta, manifestando la desventaja del ataque de fuerza bruta.

Para adivinar una contraseña también influirán otros factores tales como la rapidez de la computadora usada, en cuál número de intentos se adivinaría (lo cual en general se desconoce), si el servidor o sitio web tiene CAPTCHA, y/o si el servidor o sitio web deshabilita temporalmente el acceso a una cuenta debido a varios intentos de contraseña (actualmente sitios como Facebook deshabilitan temporalmente luego de varios intentos fallidos, y otros como Snapchat requieren resolver CAPTCHA, pero Instagram no emplea ninguna de esas dos técnicas y por ende sus usuarios son más vulnerables a los hackers).

dallas, canada, boston), el 25 % son palabras de diccionarios (p. ej.

password, monkey, dragon), el 14 % son exclusivamente números (p. ej.

De este análisis se observó que algunas de las contraseñas más comunes son 123456, password, 12345678, qwerty, 123456789, 12345, 1234, 111111, 1234567, dragon, 123123, baseball, abc123, football, monkey, letmein, shadow, master, 696969, michael, mustang, 666666, qwertyuiop, 123321, 1234567890.

También se observó que es común añadir un número entre 1 y 9 al final de la contraseña.

En ese análisis también se revelan contraseñas de empleados de empresas como Facebook, Yahoo!, Mozilla, BBC, Vimeo, Nike, Microsoft, BuzzFeed, PayPal, IBM, Google, Twitter, GitHub, Pinterest, y Dropbox.

La DES Cracking Machine construida por la EFF a un costo de USD 250 000 contiene más de 1800 chips especialmente diseñados y puede romper por fuerza bruta una clave DES en cuestión de días — la fotografía muestra una tarjeta de circuito impreso DES Cracker que contiene varios chips Deep Crack.