Cómo averiguar contraseñas o, técnicamente, cómo descifrar contraseñas es el proceso de intentar obtener acceso no autorizado a sistemas restringidos utilizando contraseñas comunes o algoritmos de adivinación de contraseñas. En otras palabras, es el arte de descifrar contraseñas correctas lo que da acceso a un sistema protegido por un método de autenticación.
El descifrado de contraseñas emplea una serie de técnicas para lograr sus objetivos. El proceso de descifrado puede implicar la comparación de las contraseñas almacenadas con la lista de palabras o el uso de algoritmos para generar contraseñas coincidentes.
En este tutorial, le presentaremos técnicas comunes sobre cómo encontrar contraseñas y las contramedidas que puede implementar para proteger los sistemas de tales ataques.
Cómo averiguar contraseñas, índice
- ¿Qué es la seguridad de contraseña?
- Técnicas de descifrado de contraseñas
- Programas para encontrar contraseñas
- Contramedidas para evitar que se pirateen las contraseñas
- Cómo averiguar una contraseña
¿Qué es la seguridad de contraseña?
La seguridad de la contraseña es una medida de la eficacia de una contraseña para resistir los ataques de descifrado de contraseñas.. La seguridad de una contraseña está determinada por;
- Longitud: el número de caracteres contenidos en la contraseña.
- Complejidad: ¿Utiliza una combinación de letras, números y símbolos?
- imprevisibilidad: ¿es algo que se puede adivinar fácilmente en un ataque?
Veamos ahora un ejemplo práctico. Usaremos tres contraseñas a saber
- la contraseña
- password1
- #contraseña1$
Para este ejemplo, usaremos el indicador de seguridad de contraseña de Cpanel al crear contraseñas. Las siguientes imágenes muestran las fortalezas de las contraseñas de cada una de las contraseñas enumeradas anteriormente.
Nota: la contraseña utilizada es la palabra contraseña, la fuerza es 1 y es muy débil.
Nota: la contraseña utilizada es contraseña1, la fuerza es 28 y aún es débil.
Nota: la contraseña utilizada es # contraseña1 $, la fuerza es 60 y es fuerte.
Cuanto mayor sea el número de seguridad, mejor será la contraseña.
Supongamos que necesitamos almacenar nuestras contraseñas anteriores usando el cifrado md5. Usaremos un generador de hash md5 en línea para convertir nuestras contraseñas en hash md5.
La siguiente tabla muestra los hashes de contraseña
| Contraseña | Hash MD5 | Indicador de fuerza del panel |
|---|---|---|
| contraseña | 5f4dcc3b5aa765d61d8327deb882cf99 | 1 |
| Contraseña 1 | 7c6a180b36896a0a8c02787eeafb0e4c | 28 |
| # contraseña1 $ | 29e08fb7103c327d68327f23d8d9256c | 60 |
Ahora usaremos http://www.md5this.com/ para descifrar los hashes anteriores. Las siguientes imágenes muestran los resultados de descifrado de contraseñas para contraseñas anteriores.
Como puede ver en los resultados anteriores, pudimos descifrar la primera y la segunda contraseña que tenían números de seguridad más bajos. No pudimos descifrar la tercera contraseña que era más larga, más compleja e impredecible. Tenía un número de fuerza mayor.
Técnicas de descifrado de contraseñas
Hay numerosos técnicas que se pueden utilizar para descifrar contraseñas. A continuación describiremos los más utilizados;
- Ataque de diccionario- Este método implica el uso de una lista de palabras para compararlas con las contraseñas de los usuarios.
- Ataque de fuerza bruta: Este método es similar al ataque de diccionario. Los ataques de fuerza bruta usan algoritmos que combinan caracteres alfanuméricos y símbolos para crear contraseñas para el ataque. Por ejemplo, una contraseña del valor "contraseña" también se puede probar como la palabra p @ $$ usando el ataque de fuerza bruta.
- Ataque de mesa arcoiris: este método utiliza valores hash calculados previamente. Supongamos que tenemos una base de datos que almacena contraseñas como hashes md5. Podemos crear otra base de datos que tenga hash md5 de contraseñas de uso común. Luego podemos comparar el hash de contraseña que tenemos con los hash almacenados en la base de datos. Si se encuentra una coincidencia, entonces tenemos la contraseña.
- Adivinar: Como sugiere el nombre, este método consiste en adivinar. Contraseñas como qwerty, contraseña, admin, etc. Se usan comúnmente o se configuran como contraseñas predeterminadas. Si no se han cambiado o si el usuario es descuidado al seleccionar las contraseñas, pueden verse comprometidas fácilmente.
- Araña- La mayoría de las organizaciones utilizan contraseñas que contienen información de la empresa. Esta información se puede encontrar en los sitios web de la empresa, redes sociales como Facebook, Twitter, etc. Spidering recopila información de estas fuentes para crear listas de palabras. La lista de palabras se usa luego para realizar ataques de diccionario y de fuerza bruta.
Lista de palabras de ataque del diccionario de muestra Spidering
1976
herrero jones
cumbre
construido | para | durar
golf | ajedrez | fútbol americano
Los programas encuentran contraseñas
Estos son programas de software utilizados para encontrar contraseñas de usuario.. Ya vimos una herramienta similar en el ejemplo anterior sobre la fortaleza de las contraseñas. El sitio web www.md5this.com utiliza una tabla de arcoíris para descifrar contraseñas. Ahora veremos algunas de las herramientas más utilizadas
1. Cómo encontrar la contraseña con John the Ripper
John the Ripper usa el símbolo del sistema para descifrar contraseñas. Esto lo hace adecuado para usuarios avanzados que estén familiarizados con los controles. Utilice una lista de palabras para encontrar contraseñas. El programa es gratuito, pero debe comprar la lista de palabras. Tiene listas de palabras alternativas gratuitas que puede usar. Visite el sitio web del producto https://www.openwall.com/john/ para obtener más información y cómo usarlo.
2. Programa de búsqueda de contraseñas de Caín y Abel
Caín y Abel se ejecuta en Windows. Se utiliza para encontrar la contraseña de la cuenta de usuario, restablecer la contraseña de Microsoft Access; detección de redes, etc. A diferencia de John the Ripper, Cain & Abel utiliza una interfaz gráfica de usuario. Es muy común entre los novatos y los script kiddies debido a su facilidad de uso. Visite el sitio web del producto http://www.softpedia.com/get/Security/Decrypting-Decoding/Cain-and-Abel.shtml para obtener más información y cómo usarlo.
3. Cómo averiguar la contraseña con Ophcrack
Ophcrack es un descifrador de contraseñas de Windows multiplataforma que utiliza la tabla del arco iris para descifrar contraseñas. Funciona en Windows, Linux y Mac OS. También tiene un módulo para ataques de fuerza bruta entre otras características. Visite el sitio web del producto http://ophcrack.sourceforge.net/ para obtener más información y cómo usarlo.
Cómo evitar que te roben la contraseña
- Una organización puede usar los siguientes métodos para reducir las posibilidades de que se pirateen las contraseñas.
- Evite contraseñas cortas y fácilmente predecibles.
- Evite usar contraseñas con patrones predecibles como 11552266.
- Las contraseñas almacenadas en la base de datos siempre deben estar encriptadas.
- La mayoría de los sistemas de inscripción tienen indicadores de seguridad de contraseña, las organizaciones deben adoptar políticas que favorezcan números de seguridad de contraseña altos.
Cómo encontrar contraseñas
En este escenario práctico, crearemos una cuenta de Windows con una contraseña simple. Windows usa hashes NTLM para cifrar contraseñas. Para hacer esto, usaremos la herramienta de cracking NTLM en Cain and Abel.
Cain and Abel cracker se puede usar para descifrar contraseñas usando;
- Ataque de diccionario
- Fuerza bruta
- Criptoanálisis
Usaremos el ataque de diccionario en este ejemplo. Deberá descargar la lista de palabras de ataque del diccionario aquí 10k-Most-Common.zip
Para esta demostración, creamos una cuenta llamada Cuenta con contraseña qwerty en Windows 7.
Cómo descifrar una contraseña
- Abri Caín y Abel, obtendrá la siguiente pantalla principal
- Asegúrese de que la pestaña del cracker esté seleccionada como se muestra arriba
- Haga clic en el botón Agregar en la barra de herramientas.
- Aparecerá el siguiente cuadro de diálogo
- Las cuentas de usuario locales se mostrarán de la siguiente manera. Tenga en cuenta que los resultados mostrados serán cuentas de usuario en su máquina local.
- Haga clic derecho en la cuenta que desea descifrar. Para este tutorial, usaremos Cuenta como la cuenta de usuario.
- La siguiente pantalla aparecerá
- Haga clic derecho en la sección del diccionario y seleccione Agregar al menú de la lista como se muestra arriba
- Navegue hasta el archivo 10k plus common.txt que acaba de descargar
- Haga clic en el botón de inicio
- Si el usuario usó una contraseña simple como qwerty, debería poder obtener los siguientes resultados.
- NotaEl tiempo que lleva descifrar la contraseña depende de la seguridad de la contraseña, la complejidad y la potencia de procesamiento de su computadora.
- Si la contraseña no se descifra mediante un ataque de diccionario, puede intentar ataques de fuerza bruta o criptoanálisis.
conclusión
- El descifrado de contraseñas es el arte de recuperar contraseñas almacenadas o transmitidas.
- La seguridad de la contraseña está determinada por la longitud, la complejidad y la imprevisibilidad del valor de una contraseña.
- Los programas de descifrado de contraseñas incluyen ataques de diccionario, fuerza bruta, tabla arcoíris, spidering y descifrado.
- Las herramientas para descifrar contraseñas simplifican el proceso cuando desea descubrir contraseñas.
Lee también: Cómo hackear una red WiFi
Para leer más:
- Cómo averiguar las contraseñas de Wifi, fácil
- ¿Qué es el cifrado? Criptoanálisis, RC4, CrypTool
- Cambiar la contraseña de WiFi, simple
- Gestores de contraseñas, los 4 mejores
- Contraseña Wifi olvidada, cómo recuperarla
