Es importante proteger nuestras cuentas ya que hay muchas formas de descifrar contraseñas. A continuación veremos los diferentes modos de password cracking que existen.
En general, las personas tienden a establecer contraseñas que son fáciles de recordar, como su fecha de nacimiento, nombres de miembros de la familia, números de teléfono móvil, etc. Esto es lo que hace que las contraseñas sean débiles y propensas a un pirateo fácil.
Es importante tener cuidado de tener una contraseña segura para defender sus cuentas de posibles piratas informáticos. Una contraseña segura tendría los siguientes atributos: Tener más de ocho caracteres, usar mayúsculas, minúsculas y símbolos, etc.
Ataque de diccionario
Un ataque de diccionario es un método de hackeo que consiste en descifrar contraseñas o passwords, probando una lista de palabras sacadas de un diccionario en un determinado idioma.
Es usual que los usuarios utilicen palabras de su idioma que estén presentes en un diccionario, ya que éstas son fáciles de recordar como contraseña. Los nombres de mascotas, color preferido, equipo de fútbol o nombres personales son las opciones más comunes.
Entre los ataques de diccionario podemos encontrar aquellos que usan una lista de palabras acotadas o por el contrario los que intentan averiguar la contraseña probando todas las palabras del diccionario. Este tipo de ataque suele ser más eficiente que el ataque por fuerza bruta que veremos a continuación, ya que un porcentaje alto de usuarios utilizan como contraseña una palabra presente en el diccionario.
Generalmente este tipo de ataque se lleva a cabo usando un software especializado que en algunos casos combina dos o más palabras para la búsqueda, por lo que encadenar palabras para una contraseña tampoco sería seguro.
Los ataques de diccionario tienen pocas probabilidades de éxito con contraseñas que combinan mayúsculas, minúsculas con números o cualquier otro tipo de símbolos. No obstante, existen variantes en los que se comprueba algunas sustituciones típicas como el intercambio de dos letras, abreviaciones, cambiar letras por números, así como distintas combinaciones de mayúsculas y minúsculas.
Ataque por fuerza bruta
Al igual que los ataques de diccionario, los ataques por fuerza bruta intentan descifrar las contraseñas. Dentro del campo de la criptografía, es una técnica que permite probar todas las combinaciones posibles hasta encontrar la palabra o texto legible que fue cifrado para obtener el criptograma. Dicho de otro modo, define el procedimiento por el cual a partir del conocimiento del algoritmo de cifrado empleado de un par texto_claro/texto_cifrado, se realiza el cifrado/descifrado de uno de los miembros del par con cada una de las posibles combinaciones de clave, hasta obtener el otro miembro del par. Así, un ataque por fuerza bruta puede quedar definido con 4 elementos:
- Un conjunto o alfabeto utilizado para obtener todas las posibles combinaciones
- Una longitud de palabra que nos determina todas las posibles combinaciones de la forma longitud_palabra longitud_alfabeto es decir para una palabra de 2 letras con un alfabeto de 26 elementos obtenemos 226 combinaciones posibles. Cuanto mayor es la longitud de palabra o del alfabeto mayor es el número de combinaciones y el tiempo invertido en el ataque.
- Palabra cifrada, que va a ser usada para romper el ciclo de iteraciones en caso de encontrar la palabra legible
- Algoritmo o función de cifrado
Los ataques por fuerza bruta, dado que utilizan ensayo y error, son muy costosos en tiempo computacional, por lo que generalmente se combina este tipo de ataque con un ataque de diccionario, de manera que se acote el número de palabras con las que ir probando.
Tablas Rainbow
Una tabla rainbow contiene un conjunto de contraseñas predefinidas que se convierten en hash. Es una tabla de búsqueda utilizada especialmente para recuperar contraseñas simples de un texto cifrado. Durante el proceso de recuperación de contraseña, solo se mira la tabla hash precalculada para descifrar la contraseña. Las tablas se pueden descargar desde http://project-rainbowcrack.com/table.htm.
RainbowCrack es la herramienta para usar las tablas raibow. Está disponible en la distribución Kali Linux.
Software para ataques de diccionario y fuerza bruta
Existen diferentes programas que nos permiten el descifrado de contraseñas mediante los ataques anteriormente expuestos. Así mismo estos programas podemos usarlos en una auditoría de sistemas para comprobar cómo de seguras son las contraseñas con las que contamos, así como calcular el tiempo de cómputo necesario para descifrarlas en caso de que sea posible
Podemos probar la dureza de nuestras contraseñas en la página web How strong is my password.
Soy técnico informático me encanta la tecnología, la informática, redes y seguridad. Apoyo el software libre y escribo en Linuxbasico.