Windows

Prueba la fuerza de tu contraseña con la misma herramienta que usan los hackers

Prueba la fuerza de tu contraseña con la misma herramienta que usan los hackers / Windows

¿Su contraseña es segura? Todos hemos escuchado muchos consejos sobre qué tipo de contraseñas nunca debe elegir, y hay varias herramientas que afirman evaluar la seguridad de su contraseña en línea. Poner sus contraseñas a través de la prueba de crack con estas cinco herramientas de seguridad de contraseñas Pon tus contraseñas A través de The Crack Test con estas cinco herramientas de seguridad de contraseñas Todos hemos leído una parte justa de las preguntas de 'cómo descifrar una contraseña'. Se puede decir con seguridad que la mayoría de ellos tienen propósitos infames y no inquisitivos. Rompiendo contraseñas ... Leer más. Sin embargo, esto solo puede ser dudoso. La única manera de probar realmente la seguridad de sus contraseñas es intentar romperlas.

Así que hoy, vamos a hacer precisamente eso. Le mostraré cómo usar una herramienta que los piratas informáticos reales usan para descifrar contraseñas y cómo usarla para verificar la suya. Y, si falla la prueba, te mostraré cómo elegir contraseñas más seguras que será Sostener.

Configuración de Hashcat

La herramienta que vamos a utilizar se llama Hashcat. Oficialmente, está destinado a la recuperación de contraseñas. 6 Herramientas gratuitas de recuperación de contraseñas para Windows. 6 Herramientas gratuitas de recuperación de contraseñas para Windows. Lea más, pero en la práctica esto es un poco como decir BitTorrent Beat the Bloat! ¡Prueba estos clientes livianos de BitTorrent! Pruebe estos Clientes ligeros de BitTorrent Las armas no comparten archivos ilegales. La gente comparte archivos ilegales. O, espera, ¿cómo va de nuevo? Lo que quiero decir es que BitTorrent no debería disiparse por su potencial de piratería. Leer más está destinado a descargar archivos sin derechos de autor. En la práctica, los hackers a menudo lo utilizan para intentar descifrar contraseñas robadas de servidores inseguros. Piense otra vez Ashley Madison fuga No es gran cosa? Think Again El sitio de citas en línea discreto Ashley Madison (dirigido principalmente a los cónyuges infieles) ha sido hackeado. Sin embargo, este es un problema mucho más serio que el que se ha descrito en la prensa, con implicaciones considerables para la seguridad del usuario. Lee mas . Como efecto secundario, esto hace que sea una forma muy potente de probar la seguridad de la contraseña..

Nota: este tutorial es para Windows. Aquellos de ustedes en Linux pueden ver el video a continuación para tener una idea de dónde comenzar.

Puede obtener Hashcat desde la página web hashcat.net. Descárgalo y descomprímelo en tu carpeta de descargas. A continuación, vamos a necesitar obtener algunos datos auxiliares para la herramienta. Vamos a adquirir una lista de palabras, que es básicamente una enorme base de datos de contraseñas que la herramienta puede usar como punto de partida, específicamente el conjunto de datos rockyou.txt. Descárgalo y pégalo en la carpeta Hashcat. Asegúrate de que se llame 'rockyou.txt'

Ahora vamos a necesitar una forma de generar los hashes. Usaremos WinMD5, que es una herramienta gratuita de software ligero que contiene archivos específicos. Descárguelo, descomprímalo y colóquelo en el directorio Hashcat. Vamos a hacer dos nuevos archivos de texto: hashes.txt y password.txt. Ponga ambos en el directorio Hashcat.

¡Eso es! Has terminado.

Una historia popular de las guerras de hackers

Antes de utilizar esta aplicación, hablemos un poco sobre cómo se rompen las contraseñas y cómo llegamos a este punto.

En la historia brumosa de la informática, era una práctica habitual que los sitios web almacenaran las contraseñas de los usuarios en texto sin formato. Esto parece que tiene sentido. Debe verificar que el usuario haya enviado la contraseña correcta. Una forma obvia de hacerlo es mantener una copia de las contraseñas a mano en un pequeño archivo en algún lugar, y verificar la contraseña enviada por el usuario con la lista. Fácil.

Esto fue un gran desastre. Los piratas informáticos obtendrían acceso al servidor mediante una táctica engañosa (como preguntar educadamente), robar la lista de contraseñas, iniciar sesión y robar el dinero de todos. Cuando los investigadores de seguridad se levantaron de los restos humeantes de ese desastre, quedó claro que necesitábamos hacer algo diferente. La solución fue el hashing..

Para aquellos que no están familiarizados, una función de hash Qué significa todo esto de Hash de MD5 significa realmente [Tecnología explicada] Qué significa todo esto de Hash de MD5 realmente significa [Explicación de tecnología] Aquí hay una versión completa de MD5, hashing y una pequeña descripción general de computadoras y criptografía . Leer más es una pieza de código que toma una pieza de información y la mete matemáticamente en una pieza de galimatías de longitud fija. Esto se llama "hashing" de los datos. Lo bueno de ellos es que solo van en una dirección. Es muy fácil tomar un pedazo de información y descubrir su hash único. Es muy difícil tomar un hash y encontrar una información que lo genere. De hecho, si usa una contraseña aleatoria, debe probar todas las combinaciones posibles para hacerlo, lo cual es más o menos imposible..

Aquellos de ustedes que siguen en casa pueden notar que los hashes tienen algunas propiedades realmente útiles para las aplicaciones de contraseña. Ahora, en lugar de almacenar la contraseña, puede almacenar los hashes de las contraseñas. Cuando quiera verificar una contraseña, córtela, elimine el original y compárelo con la lista de hashes. Todas las funciones de hash ofrecen los mismos resultados, por lo que aún puede verificar que enviaron las contraseñas correctas. Fundamentalmente, las contraseñas de texto sin formato reales nunca se almacenan en el servidor. Por lo tanto, cuando los piratas informáticos infringen el servidor, no pueden robar ninguna contraseña, solo hashes inútiles. Esto funciona razonablemente bien.

La respuesta de los hackers a esto fue gastar mucho tiempo y energía para encontrar formas realmente inteligentes de revertir hashes Ophcrack: una herramienta de hackeo de contraseñas para descifrar casi cualquier contraseña de Windows Ophcrack - una herramienta de hackeo de contraseñas para descifrar casi cualquier contraseña de Windows Hay una muchas razones diferentes por las que uno desearía usar cualquier número de herramientas de pirateo de contraseña para hackear una contraseña de Windows. Lee mas .

Cómo funciona Hashcat

Podemos usar varias estrategias para esto. Uno de los más robustos es el que usa Hashcat, que es notar que los usuarios no son muy imaginativos y tienden a elegir el mismo tipo de contraseñas..

Por ejemplo, la mayoría de las contraseñas consisten en una o dos palabras en inglés, un par de números y tal vez algunas “leet-habla” Reemplazos de letras o mayúsculas al azar. De las palabras elegidas, algunas son más probables que otras: "contraseña", el nombre del servicio, su nombre de usuario y "hola" son populares. Igual que los nombres de mascotas populares, y el año en curso..

Sabiendo esto, puede comenzar a generar conjeturas muy plausibles sobre los diferentes usuarios que podrían haber elegido, lo que debería (eventualmente) permitirle adivinar correctamente, romper el hash y obtener acceso a sus credenciales de inicio de sesión. Esto suena como una estrategia sin esperanzas, pero recuerda que las computadoras son ridículamente rápidas. Una computadora moderna puede probar millones de conjeturas por segundo.

Esto es lo que haremos hoy. Pretenderemos que sus contraseñas están en una lista hash en manos de un pirata informático malintencionado, y ejecutaremos la misma herramienta de craqueo de hash que los piratas informáticos usan en ellas. Piense en ello como un simulacro de incendio para su seguridad en línea. Veamos cómo va!

Cómo usar Hashcat

Primero, necesitamos generar los hashes. Abra WinMD5 y su archivo 'password.txt' (en el bloc de notas). Ingrese una de sus contraseñas (solo una). Guarda el archivo. Abrirlo utilizando WinMD5. Verás una pequeña caja que contiene el hash del archivo. Cópialo en tu archivo 'hashes.txt' y guárdalo. Repita esto, agregando cada archivo a una nueva línea en el archivo 'hashes.txt', hasta que tenga un hash para cada contraseña que use rutinariamente. Luego, solo por diversión, ingrese el hash de la palabra 'contraseña' como la última línea.

Vale la pena señalar aquí que MD5 no es un formato muy bueno para almacenar hashes de contraseñas; es bastante rápido de calcular, lo que hace que la fuerza bruta sea más viable. Ya que estamos haciendo pruebas destructivas, esto es realmente una ventaja para nosotros. En una fuga de contraseña real, nuestras contraseñas se trocearían con Scrypt o alguna otra función hash segura, que son más lentas de probar. Al usar MD5, esencialmente podemos simular el lanzamiento de mucha más capacidad de procesamiento y tiempo en el problema de lo que realmente tenemos disponible.

A continuación, asegúrese de que el archivo 'hashes.txt' se haya guardado y abra Windows PowerShell. Vaya a la carpeta Hashcat (discos compactos… sube un nivel, ls enumera los archivos actuales, y cd [nombre de archivo] entra en una carpeta en el directorio actual). Ahora escribe ./hashcat-cli32.exe -hash-type = 0 -attack-mode = 8 hashes.txt rockyou.txt.

Ese comando básicamente dice “Ejecute la aplicación Hashcat. Configúrelo para que funcione con hashes MD5 y use un “modo príncipe” ataque (que utiliza una variedad de estrategias diferentes para crear variaciones en las palabras en la lista). Intente romper las entradas en el archivo 'hashes.txt', y use el archivo 'rockyou.txt' como diccionario.

Pulsa Intro, y acepta el EULA (que básicamente dice “Pinky juro que no voy a hackear nada con esto”), y luego dejarlo correr. El hash para la contraseña debería aparecer en uno o dos segundos. Después de eso, solo es cuestión de esperar. Las contraseñas débiles aparecerán en cuestión de minutos en una CPU rápida y moderna. Las contraseñas normales aparecerán en un par de horas a uno o dos días. Las contraseñas seguras pueden llevar mucho tiempo. Una de mis contraseñas antiguas se rompió en menos de diez minutos.

Puedes dejar esto en funcionamiento tanto tiempo como desees. Sugiero al menos una noche, o en tu PC mientras estás en el trabajo. Si lo hace las 24 horas, su contraseña probablemente sea lo suficientemente fuerte para la mayoría de las aplicaciones, aunque esto no es una garantía. Los piratas informáticos pueden estar dispuestos a ejecutar estos ataques durante mucho tiempo o tener acceso a una mejor lista de palabras. Si tiene dudas sobre la seguridad de su contraseña, obtenga una mejor..

Mi contraseña estaba rota: ahora qué?

Más que probable, algunas de sus contraseñas no se mantuvieron. Entonces, ¿cómo se pueden generar contraseñas seguras para reemplazarlas? Como resultado, una técnica realmente fuerte (popularizada por xkcd) son las frases de paso. Abra el libro más cercano, pase a una página aleatoria y coloque el dedo sobre una página. Tome el sustantivo, verbo, adjetivo o adverbio más cercano, y recuérdelo. Cuando tenga cuatro o cinco, agrúpelos sin espacios, números o mayúsculas. No utilice “correcthorsebatterystaple”. Desafortunadamente, se ha vuelto popular como contraseña y se incluye en muchas listas de palabras.

Una contraseña de ejemplo que acabo de generar de una antología de ciencia ficción que estaba sentada en mi mesa de café es “leanedsomeartisansharmingdarling” (No use este, tampoco). Esto es mucho más fácil de recordar que una serie arbitraria de letras y números, y es probablemente más seguro. Los hablantes nativos de inglés tienen un vocabulario de trabajo de aproximadamente 20,000 palabras. Como resultado, para una secuencia de cinco palabras comunes elegidas al azar, hay 20,000 ^ 5, o aproximadamente tres sextillones de combinaciones posibles. Esto está más allá del alcance de cualquier ataque de fuerza bruta actual.

En contraste, una contraseña de ocho caracteres elegida al azar se sintetizaría en términos de caracteres, con alrededor de 80 posibilidades, que incluyen mayúsculas, minúsculas, números, caracteres y espacios. 80 ^ 8 es sólo un cuatrillón. Eso todavía suena grande, pero romperlo es en realidad dentro del ámbito de lo posible. Teniendo en cuenta diez computadoras de escritorio de alta gama (cada una de las cuales puede hacer unos diez millones de hashes por segundo), podrían ser forzadas en forma bruta en unos pocos meses, y la seguridad se desmorona si no es realmente aleatoria. También es mucho más difícil de recordar..

Otra opción es usar un administrador de contraseñas, que puede generar contraseñas seguras para usted sobre la marcha, todas las cuales se pueden "desbloquear" con una sola contraseña maestra. Aún tiene que elegir una contraseña maestra realmente buena (y si la olvida, está en problemas), pero si los hashes de su contraseña se filtran en una infracción de un sitio web, tiene una capa adicional de seguridad sólida.

Vigilancia constante

La buena seguridad de las contraseñas no es muy difícil, pero requiere que esté al tanto del problema y tome medidas para mantenerse seguro. Este tipo de prueba destructiva puede ser una buena llamada de atención. Una cosa es saber, intelectualmente, que sus contraseñas pueden ser inseguras. Otra cosa es verlo salir de Hashcat después de unos minutos..

¿Cómo se mantuvieron tus contraseñas?? Háganos saber en los comentarios.!

Explorar más sobre: ​​Hacking, Seguridad en línea, Contraseña.