Probar su fuerza con la contraseña utilizan las mismas herramientas a los piratas informáticos

Es seguro su contraseña? Todos hemos oído un montón de consejos sobre qué tipo de contraseñas que nunca se debe escoger - y hay varias herramientas que pretenden evaluar la seguridad de su contraseña en línea. Sin embargo, estos sólo pueden ser dudosamente precisa. La única manera de probar realmente la seguridad de las contraseñas es tratar de romperlas.Ponga sus contraseñas través de la prueba de grietas con estas herramientas Cinco intensidad ContraseñaPonga sus contraseñas través de la prueba de grietas con estas herramientas Cinco intensidad ContraseñaTodos nosotros hemos leído una parte justa de ‘¿cómo descifrar una contraseña` preguntas. Es seguro decir que la mayoría de ellos son para propósitos nefastos en lugar de uno inquisitivo. Violación de contraseñas ...Lee mas

Así que hoy, vamos a hacer precisamente eso. Voy a mostrar cómo utilizar una herramienta que utilizan los hackers reales para descifrar contraseñas, y mostrar cómo utilizar para comprobar la suya. Y, si no pasa la prueba, te voy a mostrar cómo elegir contraseñas más seguras que será Sostener.

Configuración de Hashcat

La herramienta que vamos a utilizar se llama Hashcat. Oficialmente, es la intención de recuperación de contraseña, pero en la práctica esto es un poco como decir BitTorrent está destinado a descargar archivos sin derechos de autor. En la práctica, es a menudo utilizado por los hackers que tratan de romper las contraseñas robado de servidores inseguros. Como efecto secundario, esto hace que sea una forma muy poderosa para poner a prueba la seguridad de contraseña.6 Herramientas gratuitas de recuperación de la contraseña para Windows6 Herramientas gratuitas de recuperación de la contraseña para WindowsLee mas

Vídeo: Documental Revolution OS 2001 Subtitulos en español

Nota: este tutorial es para Windows. Aquellos de ustedes en Linux se puede ver el vídeo a continuación para una idea de por dónde empezar.

Puede obtener Hashcat desde la página web hashcat.net. Descarga y descomprime a la carpeta de descargas. El siguiente, vamos a necesitar obtener algunos datos auxiliares para la herramienta. Vamos a adquirir una lista de palabras, que es básicamente una enorme base de datos de contraseñas que la herramienta se puede utilizar como punto de partida, en concreto el conjunto de datos rockyou.txt. Descargarlo y pegarlo en la carpeta Hashcat. Asegúrese de que sea nombrado ‘rockyou.txt`

Vídeo: Hackers Piratas De Computador - Filme completo em portugues

Ahora vamos a necesitar una manera de generar los valores hash. Vamos a utilizar WinMD5, que es una herramienta del freeware ligero que los hashes de archivos específicos. Descargarlo, descomprimirlo, y colocarlo en el directorio Hashcat. Vamos a hacer dos nuevos archivos de texto: hashes.txt y Password.txt. Poner tanto en el directorio Hashcat.

¡Eso es! Ya está.

La otra historia de las guerras de hackers

Antes de que realmente usamos esta aplicación, vamos a hablar un poco acerca de cómo las contraseñas en realidad se rompen, y cómo hemos llegado a este punto.

Tiempo atrás, en la historia de niebla de la informática, era una práctica estándar para los sitios web para almacenar las contraseñas de usuario en texto sin formato. Esto parece que tiene sentido. Es necesario verificar que el usuario envía la contraseña correcta. Una manera obvia de hacerlo es guardar una copia de las contraseñas en la mano en un pequeño archivo en alguna parte, y comprobar la contraseña del usuario presentada en contra de la lista. Fácil.

Este fue un gran desastre. Los hackers tendrían acceso al servidor a través de algún táctica desviada (como preguntar cortésmente), robar la lista de contraseñas, que entrar y robar el dinero de todos. A medida que los investigadores de seguridad tomaron ventaja a partir de los restos de fumar de ese desastre, estaba claro que teníamos que hacer algo diferente. La solución se hashing.

Para aquellos que no están familiarizados, una función hash es una pieza de código que lleva una pieza de información y revuelve hasta matemáticamente en una pieza de longitud fija de galimatías. Esto se llama ‘hash` los datos. Lo bueno de ellos es que sólo van en una dirección. Es muy fácil tomar una pieza de información y averiguar su hash único. Es muy difícil tomar un hash y encontrar una pieza de información que genera. De hecho, si se utiliza una contraseña aleatoria, usted tiene que intentar todas las combinaciones posibles con el fin de hacerlo, que es más o menos imposible.Lo que todo esto hash MD5 cosas que realmente significa [Tecnología Explicación]Lo que todo esto hash MD5 cosas que realmente significa [Tecnología Explicación]Aquí hay una decadencia completa de MD5, hash y un pequeño resumen de los ordenadores y la criptografía.Lee mas

Aquellos de ustedes siguiendo a lo largo en el hogar puede notar que los hashes tienen algunas propiedades muy útiles para aplicaciones de contraseña. Ahora, en lugar de almacenar la contraseña, puede almacenar los hashes de las contraseñas. Cuando desea verificar una contraseña, hash, borrar el original, y compárelo con la lista de hashes. Las funciones hash todos ofrecen los mismos resultados, por lo que aún puede verificar que presentaron las contraseñas correctas. Fundamentalmente, las contraseñas en texto plano reales no se almacenan en el servidor. Por lo tanto, cuando los hackers violan el servidor, no pueden robar las contraseñas - sólo hashes inútiles. Esto funciona razonablemente bien.

La respuesta de los piratas informáticos a esto fue que gastar un montón de tiempo y energía que viene con formas muy ingeniosas para revertir los hashes.

¿Cómo funciona Hashcat

Podemos utilizar varias estrategias para esto. Uno de los más robusta es la que utiliza Hashcat, que es darse cuenta de que los usuarios no son muy imaginativos y tienden a elegir el mismo tipo de contraseñas.

Por ejemplo, la mayoría de las contraseñas constan de una o dos palabras en inglés, un par de números, y tal vez algunos reemplazos de letras “Leet-hablan” o de capitalización al azar. De las palabras recogidas, algunos son más propensos que otros: ‘contraseña `, el nombre del servicio, el nombre de usuario, y‘hola` son muy populares. Ídem nombres de mascotas populares, y el año en curso.

Sabiendo esto, puede comenzar a generar conjeturas muy plausibles sobre lo que diferentes usuarios podrían haber tomado, lo que debería (con el tiempo) le permiten adivinar correctamente, romper el hash, y tener acceso a sus datos de acceso. Esto suena como una estrategia sin futuro, pero recuerda que los ordenadores son ridículamente rápido. Una computadora moderna puede tratar a millones de conjeturas por segundo.

Esto es lo que vamos a hacer hoy. Vamos a pretender que sus contraseñas están en una lista de hash en manos de un hacker malicioso, y correr la misma herramienta de hash de craqueo que los hackers utilizan en ellos. Piense en ello como un simulacro de incendio para su seguridad en línea. ¡Veamos cómo va!

Cómo utilizar Hashcat

En primer lugar, tenemos que generar los valores hash. Abrir WinMD5, y el archivo ‘password.txt`(en el bloc de notas). Introduzca una de las contraseñas (sólo uno). Guarda el archivo. Abrirlo con WinMD5. Usted verá una pequeña caja que contiene el hash del archivo. Entendido en su archivo ‘hashes.txt`, y guardarlo. Repita este, añadiendo cada archivo a una nueva línea en el archivo ‘hashes.txt`, hasta que haya logrado un hash para cada contraseña que se utiliza de forma rutinaria. Entonces, sólo por diversión, poner en el hash de la palabra ‘contraseña` en la última línea.

hashes

Vale la pena señalar aquí que MD5 no es un muy buen formato para almacenar los hashes de contraseñas - es bastante rápido para calcular, haciendo fuerza bruta más viable. Dado que estamos haciendo pruebas destructivas, esto es en realidad una ventaja para nosotros. En una contraseña real de fugas nuestras contraseñas serían hash con Scrypt o alguna otra función hash seguro, que son más lentos para probar. Mediante el uso de MD5, podemos simular esencialmente tirar mucha más potencia de procesamiento y el tiempo en el problema de lo que realmente tenemos disponible.

WinMD5Running

A continuación, asegúrese de que el archivo ‘hashes.txt` se ha guardado, y criar a Windows PowerShell. Vaya a la carpeta Hashcat (discos compactos .. sube un nivel, ls enumera los archivos actuales, y cd [nombre de archivo] entra en una carpeta en el directorio actual). ahora escriba ./hashcat-cli32.exe -hash-type = 0 -Ataque-mode = 8 hashes.txt rockyou.txt.

Ese comando básicamente dice “Ejecutar la aplicación Hashcat. Configurarlo para trabajar en hash MD5, y utilizar un ataque “modo príncipe” (que utiliza una variedad de estrategias diferentes para crear variaciones de las palabras en la lista). Tratar de romper las entradas en el archivo ‘hashes.txt`, y utilizar el archivo‘rockyou.txt` como un diccionario.

Pulsa enter, y aceptar el EULA (que básicamente dice “rosada I Juro que no cortar nada con esto”), y luego se deja correr. El hash de la contraseña debe aparecer en uno o dos segundos. Después de eso, es sólo una cuestión de espera. Las contraseñas débiles se volverán en pocos minutos en una CPU rápida, moderna. contraseñas normales se abrirá en un par de horas hasta un día o dos. Las contraseñas seguras pueden tomar un tiempo muy largo. Una de mis contraseñas de más edad se rompió en menos de diez minutos.

hashcatrunning

Puede dejar este funcionando durante el tiempo que usted se siente como. Sugiero al menos durante la noche, o en su PC mientras está en el trabajo. Si usted lo hace 24 horas, la contraseña es probablemente lo suficientemente fuerte para la mayoría de aplicaciones - aunque esto no es una garantía. Los piratas informáticos pueden estar dispuestos a ejecutar estos ataques durante mucho tiempo, o tener acceso a una mejor lista de palabras. En caso de duda acerca de la seguridad de su contraseña, obtener una mejor.

Mi contraseña se rompió y ahora qué?

Es más que probable, algunos de sus contraseñas no se sostiene. Entonces, ¿cómo se puede generar contraseñas seguras para reemplazarlos? Como resultado, una técnica muy fuerte (popularizado por xkcd) es pasar las frases. Abrir un libro más cercano, dar la vuelta a una página al azar, y poner el dedo hacia abajo en una página. Tomar la más cercana sustantivo, verbo, adjetivo, o adverbio, y recordarlo. Cuando usted tiene cuatro o cinco, puré juntos sin espacios, números o capitalizaciones. NO use “correcthorsebatterystaple”. Ha llegado a ser popular por desgracia, como una contraseña, y se incluye en muchas listas de palabras.

Un ejemplo de contraseña que acaba de generar a partir de una antología de ciencia ficción que estaba sentado en mi mesa de café es “leanedsomeartisansharmingdarling” (no utilice éste, tampoco). Esto es mucho más fácil de recordar que una cadena arbitraria de letras y números, y es probablemente más seguro. hablantes nativos de inglés tienen un vocabulario de trabajo de cerca de 20.000 palabras. Como resultado, para una secuencia de cinco palabras comunes elegidas al azar, hay 20.000 ^ 5, o cerca de tres sextillion combinaciones posibles. Esto es mucho más allá del alcance de cualquier ataque de fuerza bruta actual.

En contraste, un elegido al azar contraseña de ocho caracteres sería sintetizado en términos de caracteres, con cerca de 80 posibilidades, incluyendo mayúsculas, minúsculas, números, caracteres y espacios. 80 ^ 8 es sólo una quadrillion. Que aún suena grande, pero ruptura es en realidad dentro de lo posible. Dado diez ordenadores de sobremesa de gama alta (cada uno de los cuales puede hacer unos diez millones de hashes por segundo), que podría ser forzada-bruta en unos meses - y la seguridad se desmorona por completo si no es realmente aleatoria. También es mucho más difícil de recordar.

Otra opción es utilizar un gestor de contraseñas, que puede generar contraseñas seguras para usted sobre la marcha, todos los cuales pueden ser ‘desbloqueado` utilizando una única contraseña maestra. Usted todavía tiene que escoger una buena contraseña maestra (y si se le olvida, estás en problemas) - pero si sus hashes de contraseñas se filtraron en un sitio web de incumplimiento, que tienen una fuerte capa adicional de seguridad.

Vídeo: Hackers, Piratas informaticos y Crackers Peligros en la red 2001 Documenlal

Vigilancia constante

Buena seguridad de la contraseña no es muy difícil, pero sí requiere que usted sea consciente del problema, y ​​tomar medidas para mantenerse seguro. Este tipo de pruebas no destructivas puede ser una buena llamada de atención. Una cosa es saber, intelectualmente, que sus contraseñas podrían ser inseguros. Es otra para ver realmente el pop de Hashcat después de unos minutos.

¿Cómo sus contraseñas se sostienen? Háganos saber en los comentarios!

Artículos Relacionados