¿Tu contraseña es segura? Todos hemos escuchado muchos consejos sobre qué tipo de contraseñas nunca debes elegir, y hay varias herramientas que afirman que evalúan la seguridad de tu contraseña en línea. Pon tus contraseñas en la prueba de crack con estas cinco herramientas de seguridad de contraseñas. Pon tus contraseñas. A través de The Crack Test con estas cinco herramientas de seguridad de contraseñas Todos nosotros hemos leído una buena cantidad de preguntas sobre "cómo crackear una contraseña". Es seguro decir que la mayoría de ellos son para fines nefastos en lugar de uno inquisitivo. Violación de contraseñas ... Leer más. Sin embargo, estos solo pueden ser dudosamente precisos. La única manera de probar realmente la seguridad de sus contraseñas es tratar de romperlas.
Así que hoy, vamos a hacer justamente eso. Voy a mostrarte cómo usar una herramienta que utilizan los piratas informáticos reales para descifrar contraseñas, y te enseño cómo usarla para comprobar la tuya. Y, si no pasa la prueba, te mostraré cómo elegir contraseñas más seguras que se mantendrán.
Configurando Hashcat
La herramienta que vamos a utilizar se llama Hashcat. Oficialmente, está destinado a la recuperación de contraseñas. 6 Herramientas gratuitas de recuperación de contraseñas para Windows 6 Herramientas gratuitas de recuperación de contraseñas para Windows. Lea más, pero en la práctica esto es un poco como decir BitTorrent Beat the Bloat. Prueba estos clientes ligeros de BitTorrent. ¡Completa la diversión! Pruebe estos clientes livianos de BitTorrent Las armas no comparten archivos ilegales. La gente comparte archivos ilegales. O, espera, ¿cómo vuelve? Lo que quiero decir es que BitTorrent no debe ser desaprobado en función de su potencial para la piratería. Leer más está destinado a descargar archivos sin copyright. En la práctica, a menudo es utilizado por piratas informáticos que intentan romper contraseñas robadas de servidores inseguros. Ashley Madison Leak No Big Deal? Piense de nuevo Ashley Madison Leak No Big Deal? Piensa otra vez El sitio discreto de citas en línea Ashley Madison (dirigido principalmente a los cónyuges infieles) ha sido pirateado. Sin embargo, este es un problema mucho más serio que el que se ha presentado en la prensa, con implicaciones considerables para la seguridad del usuario. Lee mas . Como efecto colateral, esto lo convierte en una forma muy poderosa de probar la seguridad de las contraseñas.
Nota: este tutorial es para Windows. Aquellos de ustedes en Linux pueden consultar el siguiente video para tener una idea de dónde empezar.
Puede obtener Hashcat desde la página web de hashcat.net. Descargue y descomprímalo en su carpeta de descargas. A continuación, vamos a necesitar obtener algunos datos auxiliares para la herramienta. Vamos a adquirir una lista de palabras, que básicamente es una gran base de datos de contraseñas que la herramienta puede usar como punto de partida, específicamente el conjunto de datos rockyou.txt. Descárguelo y pégalo en la carpeta Hashcat. Asegúrate de que se llame 'rockyou.txt'
Ahora vamos a necesitar una forma de generar los hash. Utilizaremos WinMD5, que es una herramienta ligera gratuita que contiene archivos específicos. Descárguelo, descomprímalo y suéltelo en el directorio Hashcat. Vamos a hacer dos nuevos archivos de texto: hashes.txt y password.txt. Pon ambos en el directorio Hashcat.
¡Eso es! Ya terminaste
La historia de una gente de las guerras de hackers
Antes de que realmente usemos esta aplicación, hablemos un poco sobre cómo las contraseñas realmente se rompen y cómo llegamos a este punto.
Ya en la nebulosa historia de la informática, era práctica habitual de los sitios web almacenar las contraseñas de los usuarios en texto sin formato. Parece que tiene sentido. Debe verificar que el usuario haya enviado la contraseña correcta. Una forma obvia de hacerlo es mantener una copia de las contraseñas a la mano en un pequeño archivo en algún lugar, y verificar la contraseña presentada por el usuario en la lista. Fácil.
Este fue un gran desastre. Los hackers obtendrían acceso al servidor a través de alguna táctica desviada (como pedir educadamente), robar la lista de contraseñas, iniciar sesión y robar el dinero de todos. A medida que los investigadores de seguridad se recuperaron de los restos humeantes de ese desastre, estaba claro que teníamos que hacer algo diferente. La solución fue hashing.
Para aquellos que no están familiarizados, una función hash Lo que todo esto MD5 Hash Stuff significa realmente [Explicación de la tecnología] Lo que realmente significan estas cosas hash MD5 [Explicación de la tecnología] Aquí hay un resumen completo de MD5, hash y una pequeña descripción de computadoras y criptografía . Leer más es una pieza de código que toma una información y la convierte matemáticamente en un fragmento de galimatías de longitud fija. Esto se llama 'hash' los datos. Lo bueno de ellos es que solo van en una dirección. Es muy fácil tomar una información y descubrir su hash único. Es muy difícil tomar un hash y encontrar la información que lo genera. De hecho, si usa una contraseña aleatoria, debe probar todas las combinaciones posibles para hacerlo, lo cual es más o menos imposible.
Aquellos de ustedes que siguen en su casa pueden notar que los hashes tienen algunas propiedades realmente útiles para las aplicaciones de contraseñas. Ahora, en lugar de almacenar la contraseña, puede almacenar los hashes de las contraseñas. Cuando desee verificar una contraseña, hágalo, elimine el original y compárelo con la lista de valores hash. Todas las funciones hash ofrecen los mismos resultados, por lo que aún puede verificar que enviaron las contraseñas correctas. Fundamentalmente, las contraseñas reales de texto plano nunca se almacenan en el servidor. Entonces, cuando los hackers infringen el servidor, no pueden robar ninguna contraseña, solo hash inútiles. Esto funciona razonablemente bien.
La respuesta de los hackers a esto fue pasar mucho tiempo y energía con formas realmente ingeniosas para revertir los hash. Ophcrack: una herramienta de hackeo de contraseñas para descifrar casi cualquier contraseña de Windows Ophcrack: una herramienta de hackeo de contraseñas para descifrar casi cualquier contraseña de Windows. Hay una muchas razones diferentes por las cuales uno querría usar cualquier cantidad de herramientas de hackeo de contraseñas para hackear una contraseña de Windows. Lee mas .
Cómo funciona Hashcat
Podemos usar varias estrategias para esto. Uno de los más robustos es el que utiliza Hashcat, que es darse cuenta de que los usuarios no son muy imaginativos y tienden a elegir el mismo tipo de contraseñas.
Por ejemplo, la mayoría de las contraseñas consisten en una o dos palabras en inglés, un par de números y quizás algunos reemplazos de letras "leet-speak" o mayúsculas al azar. De las palabras elegidas, algunas son más probables que otras: 'contraseña', el nombre del servicio, su nombre de usuario y 'hola' son muy populares. A diferencia de los nombres populares de mascotas, y el año actual.
Sabiendo esto, puede comenzar a generar suposiciones muy plausibles sobre lo que diferentes usuarios podrían haber elegido, lo que (eventualmente) le permitirá adivinar correctamente, romper el hash y obtener acceso a sus credenciales de inicio de sesión. Esto suena como una estrategia sin esperanza, pero recuerda que las computadoras son ridículamente rápidas. Una computadora moderna puede intentar millones de conjeturas por segundo.
Esto es lo que haremos hoy. Fingiremos que sus contraseñas están en una lista de hash en manos de un pirata informático malintencionado y que ejecutarán la misma herramienta de descifrado de hackers que utilizan los piratas informáticos. Piense en ello como un simulacro de incendio para su seguridad en línea. ¡Veamos cómo va!
Cómo usar Hashcat
Primero, necesitamos generar los hash. Abra WinMD5 y su archivo 'password.txt' (en el bloc de notas). Ingrese una de sus contraseñas (solo una). Guarda el archivo. Ábrelo usando WinMD5. Verá una pequeña caja que contiene el hash del archivo. Copie eso en su archivo 'hashes.txt' y guárdelo. Repita esto, agregue cada archivo a una nueva línea en el archivo 'hashes.txt', hasta que tenga un hash para cada contraseña que use de manera rutinaria. Luego, solo por diversión, ingrese el hash para la palabra 'contraseña' como la última línea.
Vale la pena señalar aquí que MD5 no es un formato muy bueno para almacenar hashes de contraseñas; es bastante rápido de computar, lo que hace que el forzamiento bruto sea más viable. Como estamos haciendo pruebas destructivas, esto es realmente una ventaja para nosotros. En una fuga de contraseña real, nuestras contraseñas se codificarían con Scrypt o alguna otra función segura de hash, que son más lentas de probar. Al usar MD5, podemos esencialmente simular arrojar mucha más potencia de procesamiento y tiempo al problema de lo que realmente tenemos disponible.
A continuación, asegúrese de que el archivo 'hashes.txt' se haya guardado y abra Windows PowerShell. Navegue a la carpeta Hashcat ( cd .. sube un nivel, ls lista los archivos actuales, y cd [nombre de archivo] ingresa a una carpeta en el directorio actual). Ahora escriba ./hashcat-cli32.exe -hash-type = 0 -attack-mode = 8 hashes.txt rockyou.txt .
Ese comando básicamente dice "Ejecutar la aplicación Hashcat. Configúrelo para que funcione en hash MD5 y use un ataque de "modo prince" (que utiliza una variedad de estrategias diferentes para crear variaciones en las palabras de la lista). Intenta dividir las entradas en el archivo 'hashes.txt' y utiliza el archivo 'rockyou.txt' como un diccionario.
Presiona enter, y acepta el EULA (que básicamente dice "te juro que no voy a piratear nada con esto"), y luego deja que se ejecute. El hash de contraseña debería aparecer en uno o dos segundos. Después de eso, solo es cuestión de esperar. Las contraseñas débiles aparecerán en cuestión de minutos en una CPU rápida y moderna. Las contraseñas normales aparecerán en un par de horas a uno o dos días. Las contraseñas seguras pueden llevar mucho tiempo. Una de mis contraseñas antiguas se rompió en menos de diez minutos.
Puedes dejar esto funcionando todo el tiempo que quieras. Sugiero al menos una noche o en tu PC mientras estás en el trabajo. Si lo hace las 24 horas, su contraseña probablemente sea lo suficientemente fuerte para la mayoría de las aplicaciones, aunque esto no es una garantía. Los hackers pueden estar dispuestos a ejecutar estos ataques durante mucho tiempo o tener acceso a una mejor lista de palabras. Si tiene dudas sobre la seguridad de su contraseña, obtenga una mejor.
Mi contraseña estaba rota: ¿y ahora qué?
Lo más probable es que algunas de sus contraseñas no se sostuvieron. Entonces, ¿cómo se pueden generar contraseñas seguras para reemplazarlas? Resulta que una técnica realmente fuerte (popularizada por xkcd) son las frases de paso. Abra el libro más cercano, cambie a una página al azar y coloque el dedo en una página. Tome el sustantivo, verbo, adjetivo o adverbio más cercano y recuérdelo. Cuando tenga cuatro o cinco, agréguelos sin espacios, números o mayúsculas. NO use "correcthorsebatterystaple". Desafortunadamente, se popularizó como contraseña y se incluye en muchas listas de palabras.
Una contraseña de ejemplo que acabo de generar a partir de una antología de ciencia ficción que estaba sentada en mi mesa de centro es "se apoyó en un objeto que estaba ardiendo" (no use este, tampoco). Esto es mucho más fácil de recordar que una cadena arbitraria de letras y números, y es probablemente más seguro. Los hablantes nativos de inglés tienen un vocabulario de trabajo de aproximadamente 20, 000 palabras. Como resultado, para una secuencia de cinco palabras comunes elegidas al azar, hay 20, 000 ^ 5, o aproximadamente tres sextillones de combinaciones posibles. Esto está más allá de la comprensión de cualquier ataque de fuerza bruta actual.
Por el contrario, una contraseña de ocho caracteres elegida al azar se sintetizaría en términos de caracteres, con aproximadamente 80 posibilidades, incluyendo mayúsculas, minúsculas, números, caracteres y espacios. 80 ^ 8 es solo un cuatrillón. Eso todavía suena grande, pero romperlo está realmente dentro del campo de la posibilidad. Teniendo en cuenta diez computadoras de escritorio de alta gama (cada una de las cuales puede hacer unos diez millones de hash por segundo), eso podría ser forzado en unos pocos meses, y la seguridad se derrumbará por completo si no es realmente aleatorio. También es mucho más difícil de recordar.
Otra opción es utilizar un administrador de contraseñas, que puede generar contraseñas seguras para usted sobre la marcha, todas las cuales se pueden 'desbloquear' usando una única contraseña maestra. Aún debe elegir una contraseña maestra muy buena (y si la olvida, está en problemas), pero si los hash de sus contraseñas se filtran en una infracción de sitio web, tiene una sólida capa adicional de seguridad.
Vigilancia constante
La buena seguridad de la contraseña no es muy difícil, pero sí requiere que esté al tanto del problema y tome las medidas necesarias para mantenerse seguro. Este tipo de prueba destructiva puede ser una buena llamada de atención. Una cosa es saber, intelectualmente, que sus contraseñas podrían ser inseguras. Otra cosa es verlo salir de Hashcat después de unos minutos.
¿Cómo resistieron tus contraseñas? Háganos saber en los comentarios!