Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Entradas populares

PostHeaderIcon Crackear contraseñas Windows NTLM de 8 carácteres en menos de 2 horas y media




Las contraseñass de Windows NTLM de 8 caracteres ya se puede descifrar en menos de 2.5 horas con la herramienta de software libre hashchat. "Sólo" se necesitan 8 GPU Nvidia GTX 2080Ti. Eso sí, informan también que con tener simplemente una tarjeta se podría romper una clave de este tipo en unas 16 horas.






HashCat, una herramienta de recuperación de contraseña de código abierto, ahora puede descifrar un hash de contraseña de Windows NTLM de ocho caracteres en menos tiempo del necesario para ver una película.

En 2011, el investigador de seguridad Steven Meyer demostró que una contraseña de ocho caracteres (53 bits) podría ser forzada en 44 días o en 14 segundos si usa una GPU y tablas de arco iris, tablas precalculadas para revertir las funciones hash.

Cuando el desarrollador Jeff Atwood dijo lo mismo en 2015, la longitud promedio de la contraseña era de aproximadamente ocho caracteres y no hay indicios de que las cosas hayan cambiado mucho. Con unos 620 millones de credenciales web robadas que saldrán a la venta esta semana en un mercado web oscuro, ahora es un buen momento para revisar la contraseña.

En una publicación de Twitter, quienes estaban detrás del proyecto de software hashcat dijeron que una compilación ajustada a mano de la versión 6.0.0 HashCat beta, que utiliza 8 GPU Nvidia GTX 2080Ti en un ataque fuera de línea, excedió el punto de referencia de velocidad de craqueo NTLM de 100GH / s (gigahashes por segundo).




"Los puntos de referencia actuales para descifrar contraseñas muestran que la contraseña mínima de ocho caracteres, no importa cuán compleja sea, puede descifrarse en menos de 2.5 horas" utilizando ese equipo de hardware, explicó  Tinker en Twitter en una conversación .


La contraseña de ocho caracteres están muertas

Está muerto al menos en el contexto de ataques de piratería informática en organizaciones que dependen de Windows y Active Directory. NTLM es un antiguo protocolo de autenticación de Microsoft que desde entonces ha sido reemplazado por Kerberos. Según Tinker, todavía se usa para almacenar contraseñas de Windows localmente o en el archivo NTDS.dit en los controladores de dominio de Active Directory.


Hay que mencionar que esto no afecta a las claves online. Únicamente un atacante podría romper nuestra contraseña de 8 caracteres si ha robado el hash de la misma. De esta forma sí podría probar todas las combinaciones hasta dar con la solución. Ya sabemos que lo común es que después de X intentos la cuenta se bloquee o no permita probar durante un tiempo.


"Si tienes una contraseña de ocho caracteres perfectamente aleatoria con mayúsculas, minúsculas, números y símbolos, se descifrará (en promedio) en una hora y quince minutos. Si eliges un esquema común, como palabras o nombres, con la primera letra en mayúsculas seguidas de un número, se descifrará instantáneamente".

Los algoritmos de hash más robustos tardan más en descifrarse, a veces órdenes de magnitud más largos. Como punto de comparación, cuando IBM estaba obteniendo tasas de craqueo de hash de 334 GH / s con NTLM y Hashcat en 2017, solo podía manejar 118.6 kH / s con bcrypt y Hashcat. Pero, dada una contraseña adecuadamente corta, aquellos que intentan descifrar contraseñas hash pueden romper sus billeteras y pagar servicios en la nube por el arsenal de cómputo necesario.

Tinker estima que comprar la potencia de la GPU descrita requeriría alrededor de $ 10,000; otros han afirmado que la potencia informática necesaria para descifrar un hash de contraseña NTLM de ocho caracteres se puede alquilar en la nube de Amazon por solo $ 25.

Las últimas pautas del NIST dicen que las contraseñas deben tener al menos ocho caracteres de longitud. Algunos proveedores de servicios en línea ni siquiera exigen tanto.

Cuando el investigador de seguridad Troy Hunt examinó las longitudes mínimas de las contraseñas en varios sitios web el año pasado, descubrió que mientras Google, Microsoft y Yahoo establecieron el estándar en ocho, Facebook, LinkedIn y Twitter solo requerían seis.

Tinker dijo que la contraseña de ocho caracteres se usó como punto de referencia porque es lo que muchas organizaciones recomiendan como la longitud mínima de la contraseña y muchas políticas corporativas de TI reflejan esa guía.

"Debido a que hemos impulsado la idea de usar la complejidad (letras mayúsculas, minúsculas, números y símbolos), es difícil para los usuarios recordar contraseñas individuales", dijo Tinker. "Esto hace, entre otras cosas, que los usuarios elijan la longitud mínima permitida, para que puedan recordar su contraseña compleja. Como tal, un gran porcentaje de usuarios elige los requisitos mínimos de ocho caracteres".

Entonces, ¿cuánto tiempo es suficiente para dormir profundamente hasta que el próximo avance técnico lo cambie todo? Tinker recomienda una frase de contraseña aleatoria de cinco palabras, algo así como el ejemplo de cuatro palabras popularizado por el cómic en línea XKCD, "corcheta de batería correcta".

Esa o cualquier contraseña aleatoria de longitud máxima a través de una aplicación de administración de contraseña, con autenticación de dos factores habilitada en cualquier caso.

A través de Twitter DM, el administrador de HaveIBeenPwned, Troy Hunt, dijo a The Register que, si bien las aplicaciones web utilizan cada vez más algoritmos de hash mejores que NTLM, como bcrypt, "siempre hago mis contraseñas docenas de caracteres aleatorios generados por 1Password".


Fuente:
https://www.theregister.co.uk/2019/02/14/password_length/

2 comentarios :

xinote dijo...

Que me den una ami y tarden 4h es descifrarlas xd

Miguel dijo...

Te dejo mi número, necesito de tu ayuda.+5492324504123

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.