¿Qué es el robo de Contraseñas?

el descifrado de contraseñas es el proceso de intentar obtener acceso no autorizado a sistemas restringidos utilizando contraseñas comunes o algoritmos que adivinan contraseñas. En otras palabras, es un arte de obtener la contraseña correcta que da acceso a un sistema protegido por un método de autenticación.

el descifrado de contraseñas emplea una serie de técnicas para lograr sus objetivos., El proceso de cracking puede incluir la comparación de contraseñas almacenadas con la lista de palabras o el uso de algoritmos para generar contraseñas que coincidan con

en este Tutorial, le presentaremos las técnicas comunes de cracking de contraseñas y las contramedidas que puede implementar para proteger los sistemas contra tales ataques.

temas cubiertos en este tutorial

  • ¿Qué es la fuerza de la contraseña?,
  • técnicas de descifrado de Contraseñas
  • Password Cracking Herramientas
  • Password Cracking las Medidas de Contador
  • Hacking Asignación: Hack Ahora!

¿qué es la fuerza de la contraseña?

La fuerza de la contraseña es la medida de la eficiencia de una contraseña para resistir los ataques de descifrado de contraseñas. La fuerza de una contraseña está determinada por;

  • longitud: el número de caracteres que contiene la contraseña.
  • complejidad: ¿utiliza una combinación de letras, números y símbolos?,
  • imprevisibilidad: ¿es algo que puede ser adivinado fácilmente por un atacante?

veamos ahora un ejemplo práctico. Usaremos tres contraseñas a saber

1. contraseña

2. password1

3. #password1

para este ejemplo, usaremos el indicador de seguridad de la contraseña de Cpanel al crear contraseñas. Las imágenes a continuación muestran las fortalezas de las contraseñas de cada una de las contraseñas enumeradas anteriormente.

Nota: la contraseña es la contraseña de la fuerza es 1, y es muy débil.,

nota: la contraseña utilizada es password1 la fuerza es 28, y todavía es débil.

nota: la contraseña utilizada es # password1 the La fuerza es 60 y es fuerte.

cuanto mayor sea el número de fuerza, mejor será la contraseña.

supongamos que tenemos que almacenar nuestras contraseñas anteriores utilizando el cifrado md5. Usaremos un generador de hash md5 en línea para convertir nuestras contraseñas en hash md5.,6c9a58b»>

Password MD5 Hash Cpanel Strength Indicator password 5f4dcc3b5aa765d61d8327deb882cf99 1 password1 7c6a180b36896a0a8c02787eeafb0e4c 28 #password1$ 29e08fb7103c327d68327f23d8d9256c 60

We will now use http://www.md5this.com/ to crack the above hashes., Las imágenes a continuación muestran los resultados de descifrado de contraseñas para las contraseñas anteriores.

Como se puede ver en los resultados anteriores, hemos logrado romper la primera y la segunda contraseñas que tenían bajo la fuerza de los números. No logramos descifrar la tercera contraseña, que era más larga, compleja e impredecible. Tenía un número de mayor fuerza.,

técnicas de cracking de contraseñas

Hay una serie de técnicas que se pueden utilizar para crackear contraseñas. A continuación describiremos los más utilizados;

  • ataque de Diccionario: este método implica el uso de una lista de palabras para comparar con las contraseñas de los usuarios.
  • ataque de fuerza bruta – este método es similar al ataque del diccionario. Los ataques de fuerza bruta utilizan algoritmos que combinan caracteres alfanuméricos y símbolos para crear contraseñas para el ataque. Por ejemplo, una contraseña del valor «password» también se puede probar como p@Word Word usando el ataque de fuerza bruta.,
  • Rainbow table attack – este método utiliza hashes pre-calculados. Supongamos que tenemos una base de datos que almacena contraseñas como hashes md5. Podemos crear otra base de datos que tenga hashes md5 de contraseñas de uso común. Luego podemos comparar el hash de contraseña que tenemos con los hashes almacenados en la base de datos. Si se encuentra una coincidencia, entonces tenemos la contraseña.
  • Guess-como su nombre indica, este método implica adivinar. Contraseñas como qwerty, password, admin, etc. se usan comúnmente o se establecen como contraseñas predeterminadas., Si no se han cambiado o si el Usuario es descuidado al seleccionar contraseñas, entonces pueden ser fácilmente comprometidos.
  • Spidering-la mayoría de las organizaciones utilizan contraseñas que contienen información de la empresa. Esta información se puede encontrar en los sitios web de la empresa, redes sociales como facebook, twitter, etc. Spidering recopila información de estas fuentes para crear listas de palabras. La lista de palabras se usa para realizar ataques de diccionario y de fuerza bruta.,

Spidering lista de palabras de ataque de diccionario de muestra

herramienta de cracking de contraseñas

Estos son programas de software que se utilizan para crackear contraseñas de usuarios. Ya vimos una herramienta similar en el ejemplo anterior sobre fortalezas de contraseñas. El sitio web www.md5this.com utiliza una tabla rainbow para descifrar contraseñas. Ahora veremos algunas de las herramientas comúnmente utilizadas

John the Ripper

John the Ripper utiliza el símbolo del sistema para descifrar contraseñas. Esto lo hace adecuado para usuarios avanzados que se sienten cómodos trabajando con comandos. Utiliza la lista de palabras para descifrar contraseñas., El programa es gratuito, pero la lista de palabras tiene que ser comprada. Tiene listas de palabras alternativas gratuitas que puede usar. Visite el sitio web del producto https://www.openwall.com/john/ para obtener más información y cómo usarlo.

Cain & Abel

Cain & Abel se ejecuta en windows. Se utiliza para recuperar contraseñas de cuentas de usuario, recuperación de contraseñas de Microsoft Access; rastreo de redes, etc. A diferencia de John the Ripper, Cain & Abel utiliza una interfaz gráfica de usuario., Es muy común entre los novatos y kiddies script debido a su simplicidad de uso. Visite el sitio web del producto https://www.softpedia.com/get/Security/Decrypting-Decoding/Cain-and-Abel.shtml para obtener más información y cómo usarlo.

Ophcrack

Ophcrack es un cracker de contraseñas de Windows multiplataforma que utiliza tablas rainbow para crackear contraseñas. Se ejecuta en Windows, Linux y Mac OS. También tiene un módulo para ataques de fuerza bruta entre otras características. Visite el sitio web del producto https://ophcrack.sourceforge.io/ para obtener más información y cómo usarlo.,

contador de descifrado de contraseñas

  • Una organización puede utilizar los siguientes métodos para reducir las posibilidades de que las contraseñas se hayan descifrado
  • Evitar contraseñas cortas y fácilmente predecibles
  • Evitar el uso de contraseñas con patrones predecibles como 11552266.
  • Las contraseñas almacenadas en la base de datos siempre deben estar cifradas. Para cifrados md5, es mejor salar los hashes de contraseña antes de almacenarlos. Salar implica agregar alguna palabra a la contraseña proporcionada antes de crear el hash.,
  • La mayoría de los sistemas de registro tienen indicadores de seguridad de contraseñas, las organizaciones deben adoptar políticas que favorezcan números altos de seguridad de contraseñas.

actividad de Hacking: hackear ahora!

en este escenario práctico, vamos a crackear la cuenta de Windows con una contraseña simple. Windows utiliza hashes NTLM para cifrar contraseñas. Usaremos la herramienta NTLM cracker en Cain y Abel para hacer eso.,

Cain y Abel cracker se pueden usar para descifrar contraseñas usando;

  • ataque de diccionario
  • fuerza bruta
  • criptoanálisis

usaremos el ataque de diccionario en este ejemplo. Usted tendrá que descargar la lista de palabras de ataque diccionario aquí 10k-más-común.zip

para esta demostración, hemos creado una cuenta llamada cuentas con la contraseña qwerty en Windows 7.,

pasos para descifrar contraseñas

  • abra Cain y Abel, obtendrá la siguiente pantalla principal

  • asegúrese de que la pestaña cracker esté seleccionada como se muestra arriba
  • haga clic en el botón Agregar en la barra de herramientas.,

  • La siguiente ventana de diálogo aparecerá

  • cuentas de usuario local se muestra como sigue. Tenga en cuenta que los resultados mostrados serán de las cuentas de usuario en su máquina local.

  • haga clic Derecho en la cuenta que desea crack. Para este tutorial, usaremos cuentas como la cuenta de usuario.,

  • aparecerá La siguiente pantalla

  • haga clic Derecho en el diccionario de la sección y seleccione Añadir a la lista de menú como se muestra arriba
  • Vaya a la 10k más comunes.archivo txt que acaba de descargar

  • haga clic en el botón de inicio
  • Si el usuario usó una contraseña simple como qwerty, entonces debería poder obtener los siguientes resultados.,

  • Nota: el tiempo necesario para descifrar la contraseña depende de la fortaleza de contraseña, la complejidad y la potencia de procesamiento de la máquina.
  • si la contraseña no está descifrada mediante un ataque de diccionario, puede probar ataques de fuerza bruta o criptoanálisis.

resumen

  • El descifrado de contraseñas es el arte de recuperar contraseñas almacenadas o transmitidas.
  • La fuerza de la contraseña está determinada por la longitud, complejidad e imprevisibilidad de un valor de contraseña.,
  • Las técnicas comunes de contraseña incluyen ataques de diccionario, fuerza bruta, tablas de arco iris, spidering y cracking.
  • Las herramientas de descifrado de contraseñas simplifican el proceso de descifrado de contraseñas.