El descifrado de contraseñas emplea una serie de técnicas para lograr sus objetivos. A lo largo del siguiente artículo vamos a conocer más sobre el descifrado, las técnicas que existen y las herramientas más utilizadas para ello.
Si quieres conocer más sobre el cifrado y aprender como se realiza, no dudes en echar un ojo a la publicación sobre criptografía.
¿Qué es el descifrado de contraseñas?
El descifrado de contraseñas es el proceso de intentar obtener acceso no autorizado a sistemas restringidos utilizando las contraseñas más comunes u el uso de algoritmos que las adivinen.
El proceso de descifrado puede implicar la compararación de contraseñas almacenadas con una lista de palabras o utilizar algoritmos capaces de generar infinidad de contraseñas, hasta hacerla coincidir.
En otras palabras, descifrar es el arte de obtener la contraseña correcta que te de acceso a un sistema protegido bajo un método de autenticación.
¿Qué es la seguridad de las contraseñas?
La fuerza de la contraseña es la medida de la eficiencia de una contraseña para ser capaz de resistir los ataques de descifrado
. La fuerza de una contraseña está determinada por:
- La longitud: En referencia a la cantidad de caracteres que contiene una contraseña.
- La complejidad: En referencia a la combinación de letras, números y símbolos más o menos compleja.
- La impredecibilidad: En referencia a las posibilidades de un atacante de cara a poder adivinar la contraseña.
Veamos ahora un ejemplo práctico, usando las siguientes tres contraseñas como ejemplos:
- contraseña
- contraseña1
- # contraseña1 $
Para comprobar su fortaleza, usaremos el indicador de seguridad de contraseñas de Kaspersky.
NOTA IMPORTANTE: Recuerda no agregar tus contraseñas reales en este tipo de páginas, realiza las pruebas con contraseñas bajo parámetros similares (de números de caracteres, espaciados, símbolos) pero modificando siempre los caracteres exactos.
Si insertas las diferentes contraseñas (contraseña, contraseña1, # contraseña1 $) el comprobador te indicará como de resistente es cada una de ellas.
En el indicador de Karpersky, se nos ofrece como dato curioso, el tiempo que un ordenador tardaría en encontrar la contraseña si recibiésemos un ataque de fuerza bruta.
Existen más herramientas similares que puedes probar, por ejemplo:
Supongamos que tenemos que almacenar nuestras contraseñas anteriores utilizando cifrado md5. Entonces usaremos un generador de hash md5 en línea para convertir nuestras contraseñas a hash md5.
Prueba a generar los hash de las 3 contraseñas anteriores (contraseña, contraseña1, # contraseña1 $).
Posteriormente, puedes probar a desencriptarlas en hashes.com; el resultado será que las contraseñas más fuertes no se pueden descifrar; pero las débiles, sí.
Si quieres conocer más en profundidad sobre lo que es MD5 y como utilizarlo, pásate por aquí.
¿Qué técnicas de descifrado de contraseñas existen?
Hay una serie de técnicas que se pueden utilizar para descifrar contraseñas . A continuación, describiremos algunas de las más utilizadas:
Ataque de diccionario
El método de ataque de diccionario implica el uso de una lista de palabras (frases u combinaciones de palabras) para compararlas con la contraseña de los usuarios.
Ataque de fuerza bruta
El método de ataque de fuerza bruta es similar al ataque de diccionario.
A diferencia del ataque de diccionario, los ataques de fuerza bruta utilizan algoritmos que combinan caracteres alfanuméricos y símbolos para generar contraseñas que son utilizadas para atacar.
Por ejemplo, una contraseña de valor “contraseña” podría ser probada en infinidad de combinaciones diferentes, además de agregarle infinidad de símbolos, números, etc.
Ataque de tabla de arco iris
El método de tabla de arco iris utiliza hashes precalculados. Supongamos que tenemos una base de datos que almacena contraseñas como hashes md5.
Entonces podemos crear otra base de datos que tenga hashes md5 basados en contraseñas de uso común.
Posteriormente, ir comparando el hash de la contraseña que tenemos con los hash almacenados en la base de datos; si se encontrase una coincidencia, esa sería la contraseña utilizada.
Adivinanza
Como su propio nombre sugiere, el método de de adivinanza implica adivinar la contraseña.
Existen infinidad de proyectos, gestores de contenidos, bases de datos, moden y apartados de redes, etc, que vienen con contraseñas por defecto.
Conociendo las contraseñas predeterminadas que comúnmente cada compañía utiliza, solamente es cuestión de localizar a usuarios y sitios de servicios en los que esas password no se hallan modificado.
Arañado de datos
La mayoría de las organizaciones utilizan contraseñas que contienen información de la empresa. Esa info. se puede encontrar en los sitios web u redes sociales de la propia empresa.
El método de spidering o arañado se encarga de recopilar información de este tipo de fuentes para crear listas de posibles palabras, y posteriormente usarlas realizando ataques de diccionario o fuerza bruta.
¿Qué herramienta para descifrar contraseñas existen?
Estos son programas de software que se utilizan para descifrar las contraseñas de los usuarios
. Algunos de los más conocidos como: John the Ripper, Caín y Abel o OphCrack.
John the Ripper
John the Ripper
usa la consola del sistema para descifrar contraseñas. Esto lo hace adecuado para usuarios avanzados que se sienten cómodos trabajando con comandos.
Utiliza listas de palabras para descifrar contraseñas. El programa es gratuito, pero las listas de palabras debes comprarlas.
Aunque existen listas de palabras gratuitas que puedes probar a utilizar. Vista el sitio web de John the Ripper para obtener más información y conocer más sobre su utilización.
Caín y Abel
Cain & Abel
se ejecuta en Windows y se utiliza para recuperar contraseñas de cuentas de usuario y la recuperación de contraseñas de Microsoft Access, rastreo de redes, etc.
A diferencia de John the Ripper, Cain & Abel usa una interfaz gráfica de usuario y es muy común entre los principiantes y los script kiddies debido a su sencillez de uso.
Visita el sitio web de Caín y Abel para obtener más información.
Ophcrack
Ophcrack
es un descifrador de contraseñas multiplataforma que utiliza tablas arco iris para descifrar las contraseñas. Funciona en Windows, Linux y Mac OS.
También cuenta con un módulo para ataques de fuerza bruta entre otras características.
Visita el sitio web de Ophcrack para obtener más información.
Medidas para contrarrestar el descifrado de contraseñas
Una organización puede utilizar los siguientes métodos para reducir las posibilidades de que se descifren las contraseñas:
- Evitar contraseñas cortas y fácilmente predecibles.
- Evitar el uso de contraseñas con patrones predecibles como 11552266.
- Encriptar siempre las contraseñas almacenadas en las bases de datos. Para las encriptaciones utiliza md5.
- La mayoría de los sistemas de registro tienen indicadores de seguridad de contraseñas, las organizaciones deben adoptar políticas que favorezcan niveles altos de seguridad en sus pass.
Resumen
- El descifrado de contraseñas es el arte de recuperar contraseñas almacenadas o transmitidas.
- La seguridad de la contraseña está determinada por la longitud, la complejidad y la imprevisibilidad del valor de una contraseña.
- Las técnicas comunes de contraseña incluyen ataques de diccionario, fuerza bruta, tablas de arco iris, arañas y craqueo.
- Las herramientas para descifrar contraseñas simplifican el proceso de descifrar contraseñas.
⏩ Malware: Gusano, virus y caballo de troya (Capítulo 7)
⏪ Tutorial de criptografía: Criptoanálisis, RC4, CrypTool (Capítulo 5)
? Herramientas Hacking ? Recursos Hacking
?♀️ Cursos Seguridad en Red ? Cursos Redes ⛅ Cursos Servicios en Nube ?♂️ Libros Seguridad y Criptografía ? Libros Redes