¿Qué es el descifrado de contraseñas?
El descifrado de contraseñas es el proceso de intentar obtener acceso no autorizado a sistemas restringidos utilizando contraseñas comunes o algoritmos que adivinan contraseñas. En otras palabras, es un arte de obtener la contraseña correcta que da acceso a un sistema protegido por un método de autenticación.
El descifrado de contraseñas emplea una serie de técnicas para lograr sus objetivos. El proceso de descifrado puede implicar comparar las contraseñas almacenadas con la lista de palabras o utilizar algoritmos para generar contraseñas que coincidan
En este tutorial, le presentaremos las técnicas comunes de descifrado de contraseñas y las contramedidas que puede implementar para proteger los sistemas contra tales ataques.
Temas cubiertos en este tutorial
- ¿Qué es la seguridad de la contraseña?
- Técnicas de descifrado de contraseñas
- Herramientas para descifrar contraseñas
- Medidas para contrarrestar el descifrado de contraseñas
- Asignación de piratería: ¡piratea ahora!
¿Qué es la seguridad de la contraseña?
La fuerza de la contraseña es la medida de la eficiencia de una contraseña para resistir los ataques de descifrado de contraseñas . La fuerza de una contraseña está determinada por;
- Longitud : la cantidad de caracteres que contiene la contraseña.
- Complejidad : ¿utiliza una combinación de letras, números y símbolos?
- Impredecibilidad : ¿es algo que un atacante puede adivinar fácilmente?
Veamos ahora un ejemplo práctico. Usaremos tres contraseñas a saber
1. contraseña
2. contraseña1
3. # contraseña1 $
Para este ejemplo, usaremos el indicador de seguridad de contraseña de Cpanel al crear contraseñas. Las imágenes a continuación muestran las fortalezas de las contraseñas de cada una de las contraseñas mencionadas anteriormente.
Nota : la contraseña utilizada es la contraseña, la fuerza es 1 y es muy débil.
Nota : la contraseña utilizada es contraseña1, la fuerza es 28 y aún es débil.
Nota : La contraseña utilizada es # contraseña1 $, el nivel de seguridad es 60 y es seguro.
Cuanto mayor sea el número de seguridad, mejor será la contraseña.
Supongamos que tenemos que almacenar nuestras contraseñas anteriores utilizando cifrado md5. Usaremos un generador de hash md5 en línea para convertir nuestras contraseñas en hash md5.
La siguiente tabla muestra los hash de contraseña
| Contraseña | Hash MD5 | Indicador de fuerza de Cpanel |
|---|---|---|
| contraseña | 5f4dcc3b5aa765d61d8327deb882cf99 | 1 |
| contraseña1 | 7c6a180b36896a0a8c02787eeafb0e4c | 28 |
| # contraseña1 $ | 29e08fb7103c327d68327f23d8d9256c | 60 |
Ahora usaremos http://www.md5this.com/ para descifrar los hash anteriores. Las imágenes a continuación muestran los resultados de descifrado de contraseñas para las contraseñas anteriores.
Como puede ver en los resultados anteriores, logramos descifrar la primera y la segunda contraseñas que tenían números de seguridad más bajos. No logramos descifrar la tercera contraseña, que era más larga, compleja e impredecible. Tenía un número de fuerza más alto.
Técnicas de descifrado de contraseñas
Hay una serie de técnicas que se pueden utilizar para descifrar contraseñas . A continuación, describiremos los más utilizados;
- Ataque de diccionario : este método implica el uso de una lista de palabras para compararlas con las contraseñas de los usuarios.
- Ataque de fuerza bruta : este método es similar al ataque de diccionario. Los ataques de fuerza bruta utilizan algoritmos que combinan caracteres alfanuméricos y símbolos para generar contraseñas para el ataque. Por ejemplo, una contraseña del valor "contraseña" también se puede probar como p @ $$ palabra usando el ataque de fuerza bruta.
- Ataque de tabla de arco iris : este método utiliza hashes precalculados. Supongamos que tenemos una base de datos que almacena contraseñas como hashes md5. Podemos crear otra base de datos que tenga hashes md5 de contraseñas de uso común. Luego podemos comparar el hash de la contraseña que tenemos con los hash almacenados en la base de datos. Si se encuentra una coincidencia, tenemos la contraseña.
- Adivinar : como sugiere el nombre, este método implica adivinar. Las contraseñas como qwerty, contraseña, admin, etc. se utilizan comúnmente o se establecen como contraseñas predeterminadas. Si no se han cambiado o si el usuario es descuidado al seleccionar las contraseñas, pueden verse comprometidas fácilmente.
- Spidering : la mayoría de las organizaciones utilizan contraseñas que contienen información de la empresa. Esta información se puede encontrar en los sitios web de la empresa, redes sociales como Facebook, Twitter, etc. Spidering recopila información de estas fuentes para crear listas de palabras. La lista de palabras se utiliza para realizar ataques de fuerza bruta y de diccionario.
Lista de palabras de ataque de diccionario de muestra de Spidering
1976smith jones acme built|to|last golfing|chess|soccer Herramienta para descifrar contraseñas
Estos son programas de software que se utilizan para descifrar las contraseñas de los usuarios . Ya vimos una herramienta similar en el ejemplo anterior sobre la seguridad de las contraseñas. El sitio web www.md5this.com utiliza una tabla de arcoíris para descifrar contraseñas. Ahora veremos algunas de las herramientas de uso común.
Juan el destripador
John the Ripper usa el símbolo del sistema para descifrar contraseñas. Esto lo hace adecuado para usuarios avanzados que se sienten cómodos trabajando con comandos. Utiliza listas de palabras para descifrar contraseñas. El programa es gratuito, pero la lista de palabras debe comprarse. Tiene listas de palabras alternativas gratuitas que puede utilizar. Visite el sitio web del producto https://www.openwall.com/john/ para obtener más información y cómo usarlo.
Caín y Abel
Cain & Abel se ejecuta en Windows. Se utiliza para recuperar contraseñas de cuentas de usuario, recuperación de contraseñas de Microsoft Access; rastreo de redes, etc. A diferencia de John the Ripper, Cain & Abel usa una interfaz gráfica de usuario. Es muy común entre los principiantes y los script kiddies debido a su simplicidad de uso. Visite el sitio web del producto https://www.softpedia.com/get/Security/Decrypting-Decoding/Cain-and-Abel.shtml para obtener más información y cómo usarlo.
Ophcrack
Ophcrack es un descifrador de contraseñas de Windows multiplataforma que utiliza tablas de arco iris para descifrar contraseñas. Funciona en Windows, Linux y Mac OS. También cuenta con un módulo para ataques de fuerza bruta entre otras características. Visite el sitio web del producto https://ophcrack.sourceforge.io/ para obtener más información y cómo usarlo.
Medidas para contrarrestar el descifrado de contraseñas
- Una organización puede utilizar los siguientes métodos para reducir las posibilidades de que se descifren las contraseñas
- Evite contraseñas cortas y fácilmente predecibles
- Evite el uso de contraseñas con patrones predecibles como 11552266.
- Las contraseñas almacenadas en la base de datos siempre deben estar encriptadas. Para las encriptaciones md5, es mejor saltear los hashes de la contraseña antes de almacenarlos. Salar implica agregar alguna palabra a la contraseña proporcionada antes de crear el hash.
- La mayoría de los sistemas de registro tienen indicadores de seguridad de contraseñas, las organizaciones deben adoptar políticas que favorezcan números altos de seguridad de contraseñas.
Actividad de piratería: ¡piratea ahora!
En este escenario práctico, vamos a descifrar la cuenta de Windows con una simple contraseña . Windows utiliza hashes NTLM para cifrar contraseñas . Usaremos la herramienta de craqueo NTLM en Cain y Abel para hacer eso.
El cracker de Cain and Abel se puede utilizar para descifrar contraseñas usando;
- Ataque de diccionario
- Fuerza bruta
- Criptoanálisis
Usaremos el ataque de diccionario en este ejemplo. Deberá descargar la lista de palabras de ataque de diccionario aquí 10k-Most-Common.zip
Para esta demostración, hemos creado una cuenta llamada Cuentas con la contraseña qwerty en Windows 7.
Pasos para descifrar contraseñas
- Abra Cain y Abel , obtendrá la siguiente pantalla principal
- Asegúrese de que la pestaña cracker esté seleccionada como se muestra arriba
- Haga clic en el botón Agregar en la barra de herramientas.
- Aparecerá la siguiente ventana de diálogo
- Las cuentas de usuarios locales se mostrarán de la siguiente manera. Tenga en cuenta que los resultados que se muestran serán de las cuentas de usuario en su máquina local.
- Haga clic derecho en la cuenta que desea abrir. Para este tutorial, usaremos Cuentas como cuenta de usuario.
- La siguiente pantalla aparecerá
- Haga clic derecho en la sección del diccionario y seleccione Agregar al menú de la lista como se muestra arriba
- Busque el archivo.txt de 10k más común que acaba de descargar
- Haga clic en el botón de inicio
- Si el usuario usó una contraseña simple como qwerty, entonces debería poder obtener los siguientes resultados.
- Nota : el tiempo necesario para descifrar la contraseña depende de la fuerza, la complejidad y la capacidad de procesamiento de la contraseña de su máquina.
- Si la contraseña no se descifra mediante un ataque de diccionario, puede intentar ataques de fuerza bruta o criptoanálisis.
Resumen
- El descifrado de contraseñas es el arte de recuperar contraseñas almacenadas o transmitidas.
- La seguridad de la contraseña está determinada por la longitud, la complejidad y la imprevisibilidad del valor de una contraseña.
- Las técnicas de contraseña comunes incluyen ataques de diccionario, fuerza bruta, tablas de arco iris, arañas y craqueo.
- Las herramientas para descifrar contraseñas simplifican el proceso de descifrar contraseñas.