Independientemente de si un ataque de fuerza bruta tiene como objetivo el archivo central de contraseñas de un sistema o, como en el caso de iCloud, el atacante cuenta con el Apple ID de la víctima, los precedentes prueban la importancia de protegerse de este penetrante método para descifrar contraseñas. Por lo general, la mayoría de usuarios conoce los principios básicos para crear contraseñas seguras: se deben utilizar combinaciones compuestas por diferentes tipos de caracteres; en el mejor de los casos, se usan mayúsculas y minúsculas, así como también números y caracteres especiales. Y, por supuesto, cuanto más larga sea la contraseña, más difícil será hackearla.
El panorama para la creación de contraseñas para servicios online es un poco más complicado, pues está sujeto a las condiciones dispuestas por el proveedor. Los requisitos típicos son una longitud máxima de entre ocho y diez caracteres y, con frecuencia, un número limitado de números y letras, algo que sin las medidas de seguridad adicionales no resulta muy satisfactorio. En estos casos es necesario que estés al tanto de las precauciones y medidas de los operadores del proyecto web en lo que respecta a los ataques de fuerza bruta. Si eres el administrador de una página web con un mecanismo de inicio de sesión, toda esta responsabilidad recaerá sobre tus hombros. Para ello cuentas con dos posibles enfoques:
- Garantizar la protección del mecanismo de contraseñas
- Establecer un método de autenticación multifactor
Proteger el mecanismo de contraseñas debería ser un componente estándar en las máscaras de acceso, sin embargo, como lo demuestra el ya mencionado escándalo de iCloud, este no siempre es el caso. Este proceso de protección hace referencia a implementar estrategias que dificulten el trabajo al software de brute force. Así, en caso de que el usuario o atacante introduzca una contraseña incorrecta, la opción para introducir otra contraseña aparecerá solo después de un corto periodo de tiempo. También es posible aumentar el lapso de tiempo de espera a medida que aumentan los intentos fallidos. Para ir un paso más allá, como lo hizo Apple después del ataque, es posible bloquear la cuenta del usuario completamente después de un cierto número de intentos de registro.
A menudo, los métodos de autenticación multifactor son ofrecidos de manera opcional por muchos proveedores. Con estos, estás dificultando un poco más el proceso de registro, pues además de la contraseña, es necesario que el usuario introduzca un componente adicional. Este componente puede ser la respuesta a una pregunta secreta, un PIN o el llamado captcha. Estos últimos son pequeñas pruebas que permitirán a la autoridad notificante determinar si se trata de un usuario humano o, como es típico en los ataques de fuerza bruta, de un robot.