Cracker de contraseñas: ¿Cómo descifrar (piratear) una contraseña?
Oliver Jones
¿Qué es el descifrado de contraseñas?
El descifrado de contraseñas es el proceso de intentar obtener acceso no autorizado a sistemas restringidos utilizando contraseñas comunes o algoritmos que adivinan contraseñas. En otras palabras, es un arte de obtener la contraseña correcta que da acceso a un sistema protegido por un método de autenticación.
El descifrado de contraseñas emplea una serie de técnicas para lograr sus objetivos. El proceso de descifrado puede implicar la comparación de contraseñas almacenadas con una lista de palabras o el uso de algoritmos para generar contraseñas que coincidan
En este tutorial, le presentaremos las técnicas comunes para descifrar contraseñas y las contramedidas que puede implementar para proteger los sistemas contra dichos ataques.
¿Qué es la fuerza de la contraseña?
La seguridad de la contraseña es la medida de la eficiencia de una contraseña para resistir ataques de descifrado de contraseñas.. La seguridad de una contraseña está determinada por;
- Longitud Mínima: el número de caracteres que contiene la contraseña.
- Complejidad: ¿Utiliza una combinación de letras, números y símbolos?
- La Imprevisibilidad: ¿Es algo que un atacante puede adivinar fácilmente?
Veamos ahora un ejemplo práctico. Usaremos tres contraseñas, a saber
1. contraseña
2. contraseña1
3. #contraseña1$
Para este ejemplo, usaremos el indicador de seguridad de contraseña de Cpanel al crear contraseñas. Las imágenes a continuación muestran la seguridad de cada una de las contraseñas enumeradas anteriormente.
Nota:: la contraseña utilizada es contraseña, la fuerza es 1 y es muy débil.
Nota:: la contraseña utilizada es contraseña1, la seguridad es 28 y aún es débil.
Nota::La contraseña utilizada es #password1$, la fuerza es 60 y es segura.
Cuanto mayor sea el número de seguridad, mejor será la contraseña.
Supongamos que tenemos que almacenar nuestras contraseñas anteriores utilizando cifrado md5. Usaremos un en línea generador de hash md5 para convertir nuestras contraseñas en hashes md5.
La siguiente tabla muestra los hashes de contraseña.
| Contraseña | Hash MD5 | Indicador de fuerza del panel |
|---|---|---|
|
la contraseña |
5f4dcc3b5aa765d61d8327deb882cf99 |
1 |
|
password1 |
7c6a180b36896a0a8c02787eeafb0e4c |
28 |
|
#contraseña1$ |
29e08fb7103c327d68327f23d8d9256c |
60 |
ahora usaremos http://www.md5this.com/ para descifrar los hashes anteriores. Las imágenes a continuación muestran los resultados de descifrado de contraseñas para las contraseñas anteriores.
Como puede ver en los resultados anteriores, logramos descifrar la primera y la segunda contraseña, que tenían valores de seguridad más bajos. No logramos descifrar la tercera contraseña, que era más larga, compleja e impredecible y tenía un valor de seguridad más alto.
Técnicas para descifrar contraseñas
Hay un número de Técnicas que se pueden utilizar para descifrar contraseñas.. A continuación describiremos los más utilizados;
- Ataque de diccionario– Este método implica el uso de una lista de palabras para compararlas con las contraseñas de los usuarios.
- Ataque de fuerza bruta– Este método es similar al ataque de diccionario. Los ataques de fuerza bruta utilizan algoritmos que combinan caracteres alfanuméricos y símbolos para crear contraseñas para el ataque. Por ejemplo, una contraseña con el valor “contraseña” también puede probarse como p@$$word mediante el ataque de fuerza bruta.
- Ataque a la mesa arcoiris– Este método utiliza hashes precalculados. Supongamos que tenemos una base de datos que almacena contraseñas como hashes md5. Podemos crear otra base de datos que tenga hashes md5 de contraseñas de uso común. Luego podemos comparar el hash de contraseña que tenemos con los hashes almacenados en la base de datos. Si se encuentra una coincidencia, entonces tenemos la contraseña.
- Guess– Como sugiere el nombre, este método implica adivinar. Contraseñas como qwerty, contraseña, admin, etc. se utilizan comúnmente o se configuran como contraseñas predeterminadas. Si no se han modificado o si el usuario es descuidado al seleccionar las contraseñas, pueden verse comprometidas fácilmente.
- Araña– La mayoría de las organizaciones utilizan contraseñas que contienen información de la empresa. Esta información se puede encontrar en los sitios web de la empresa, redes sociales como Facebook, Twitter, etc. Spidering recopila información de estas fuentes para elaborar listas de palabras. Luego, la lista de palabras se utiliza para realizar ataques de diccionario y de fuerza bruta.
Lista de palabras de ataque de diccionario de muestra de Spidering
1976 <founder birth year> smith jones <founder name> acme <company name/initials> built|to|last <words in company vision/mission> golfing|chess|soccer <founders hobbies
Herramientas para descifrar contraseñas
Estos son programas de software que se utilizan para descifrar contraseñas de usuarios.. Ya vimos una herramienta similar en el ejemplo anterior sobre la seguridad de las contraseñas. El sitio web http://www.md5this.com/ utiliza una tabla de arcoíris para descifrar contraseñas. Ahora veremos algunas de las herramientas más utilizadas.
1) John the Ripper
John the Ripper utiliza el símbolo del sistema para descifrar contraseñas. Esto lo hace adecuado para usuarios avanzados que se sienten cómodos trabajando con comandos. Utiliza una lista de palabras para descifrar contraseñas. El programa es gratuito, pero es necesario comprar la lista de palabras. Tiene listas de palabras alternativas gratuitas que puedes utilizar. Visita el sitio web del producto https://www.openwall.com/john/ para obtener más información y cómo utilizarlo.
2) Cain & Abel
Cain & Abel Se ejecuta en Windows. Se utiliza para recuperar contraseñas de cuentas de usuario, recuperación de Microsoft Contraseñas de acceso; olfateo de redes, etc. A diferencia de John the Ripper, Cain & Abel utiliza una interfaz gráfica de usuario. Es muy común entre los novatos y los guionistas debido a su simplicidad de uso. Visita el sitio web del producto https://sectools.org/tool/cain/ para obtener más información y cómo utilizarlo.
3) Ofcrack
Ophcrack es multiplataforma Windows Cracker de contraseñas que utiliza tablas de arcoíris para descifrar contraseñas. sigue funcionando Windows, Linux y Mac OS. También cuenta con un módulo para ataques de fuerza bruta entre otras características. Visita el sitio web del producto https://ophcrack.sourceforge.io/ para obtener más información y cómo utilizarlo.
mSpy
En nuestro mspy, una aplicación de registro de pulsaciones de teclas, puedes observar discretamente todas las palabras que alguien escribe sin necesidad de estar físicamente presente. Esta herramienta le permite realizar un seguimiento de cada pulsación de tecla y toque en un dispositivo, así como monitorear aplicaciones de chat populares como WhatsApp, Instagram, Tinder, Snapchat y Viber. Vea sin esfuerzo todos los mensajes de texto y mensajes instantáneos y use la función integrada rastreador de GPS para localizar la posición de un dispositivo.
¿Cómo protegerse contra ataques de descifrado de contraseñas?
- Una organización puede utilizar los siguientes métodos para reducir las posibilidades de que se descifren las contraseñas
- Evite contraseñas cortas y fácilmente predecibles
- Evite el uso de contraseñas con patrones predecibles como 11552266.
- Las contraseñas almacenadas en la base de datos siempre deben estar cifradas. Para cifrados md5, es mejor salar los hashes de contraseñas antes de almacenarlos. La salazón implica agregar alguna palabra a la contraseña proporcionada antes de crear el hash.
- La mayoría de los sistemas de registro tienen indicadores de fortaleza de contraseñas, por lo que las organizaciones deben adoptar políticas que favorezcan números altos de fortaleza de contraseñas.
Actividad de piratería: ¡Hackea ahora!
En este escenario práctico, vamos a grieta Windows cuenta con una contraseña simple. Windows utiliza hashes NTLM para cifrar contraseñas. Usaremos la herramienta de cracker NTLM en Caín y Abel para hacer eso.
Cain and Abel cracker se puede utilizar para descifrar contraseñas usando;
- Ataque de diccionario
- Fuerza bruta
- Criptoanálisis
Usaremos el ataque de diccionario en este ejemplo. Deberá descargar la lista de palabras de ataque del diccionario aquí 10k-más-común.zip
Para esta demostración, hemos creado una cuenta llamada Cuentas con la contraseña qwerty en Windows 7.
Cómo descifrar una contraseña
Paso 1) Abre Caín y Abel.
Obtendrás la siguiente pantalla principal
Paso 2) Busque el botón Agregar.
Asegúrese de que la pestaña Cracker esté seleccionada como se muestra arriba y haga clic en el botón Agregar en la barra de herramientas.
Paso 3) Comprobar cuadro de diálogo.
Aparecerá la siguiente ventana de diálogo. Importe usuarios locales y haga clic en el botón Siguiente.
Paso 4) Las cuentas de usuario locales se mostrarán de la siguiente manera.
Tenga en cuenta que los resultados mostrados serán de las cuentas de usuario en su máquina local.
Paso 5) Haga clic derecho en la cuenta que desea descifrar.
Para este tutorial, usaremos Cuentas como cuenta de usuario.
Paso 6) Consulte la siguiente pantalla.
Haga clic derecho en la sección del diccionario y seleccione Agregar al menú de la lista como se muestra arriba.
Paso 7) Buscar Archivo.
Busque los 10 archivos.txt más comunes que acaba de descargar
Paso 8) Verificar resultados.
Si el usuario utilizó una contraseña simple como qwerty, entonces debería poder obtener los siguientes resultados.
- Nota::El tiempo que lleva descifrar la contraseña depende de la fortaleza de la contraseña, la complejidad y la potencia de procesamiento de su máquina.
- Si la contraseña no se descifra mediante un ataque de diccionario, puede intentar ataques de fuerza bruta o criptoanálisis.
Resum
- Descifrar contraseñas es el arte de recuperar contraseñas almacenadas o transmitidas.
- La fortaleza de una contraseña está determinada por la longitud, la complejidad y la imprevisibilidad del valor de la misma.
- Las técnicas de contraseñas comunes incluyen ataques de diccionario, fuerza bruta, tablas de arco iris, arañas y craqueo.
- Herramientas para descifrar contraseñas simplificar el proceso de descifrar contraseñas.
