13Sep
Conoces el ejercicio: usa una contraseña larga y variada, no uses la misma contraseña dos veces, usa una contraseña diferente para cada sitio.¿Usar una contraseña corta realmente tan peligrosa?
Pregunta de hoy &La sesión de respuesta nos llega por cortesía de SuperUser, una subdivisión de Stack Exchange, una agrupación de sitios web Q & A dirigida por la comunidad.
El usuario de la Pregunta
SuperUser user31073 siente curiosidad acerca de si realmente debería prestar atención a esas advertencias de contraseña corta:
Usando sistemas como TrueCrypt, cuando tengo que definir una nueva contraseña, a menudo me informan que usar una contraseña corta es inseguro y "muy fácil"para romper por la fuerza bruta.
Siempre uso contraseñas de 8 caracteres de longitud, que no están basadas en palabras del diccionario, que consta de caracteres del conjunto A-Z, a-z, 0-9
, es decir, Uso una contraseña como sDvE98f1
. ¿Cuán fácil es descifrar tal contraseña por fuerza bruta? Es decir. Qué rápido.
Sé que depende en gran medida del hardware, pero tal vez alguien podría darme una estimación de cuánto tiempo llevaría hacerlo en un núcleo dual con 2GHZ o lo que sea para tener un marco de referencia para el hardware.
Para atacar con fuerza bruta tal contraseña, no solo se necesita pasar por todas las combinaciones, sino también intentar descifrar con cada contraseña adivinada, lo que también requiere un poco de tiempo.
Además, hay algún programa de hackeo de fuerza bruta en TrueCrypt porque quiero intentar descifrar mi propia contraseña para ver cuánto tarda si realmente es "muy fácil".
¿Las contraseñas cortas de caracteres aleatorios realmente están en riesgo?
La respuesta
SuperUser contribuidor Josh K. destaca lo que el atacante necesitaría:
Si el atacante puede obtener acceso al hash de contraseña, a menudo es muy fácil usar fuerza bruta, ya que simplemente implica contraseñas hash hasta que los hashes coincidan.
La "fuerza" de hash depende de cómo se almacena la contraseña. Un hash MD5 puede tomar menos tiempo para generar un hash SHA-512.
Windows solía( y aún puede, no sé) almacenar las contraseñas en un formato hash LM, que superó la contraseña y la dividió en dos trozos de 7 caracteres que luego fueron hash. Si tuvieras una contraseña de 15 caracteres no importaría porque solo almacenaba los primeros 14 caracteres, y era fácil usar la fuerza bruta porque no eras forzosamente forzando una contraseña de 14 caracteres, eras brutalmente forzando dos contraseñas de 7 caracteres.
Si siente la necesidad, descargue un programa como John The Ripper o Cain &Abel( enlaces retenidos) y pruébelo.
Recuerdo que pude generar 200,000 hashes por segundo para un hash LM.Dependiendo de cómo Truecrypt almacena el hash, y si se puede recuperar de un volumen bloqueado, podría tomar más o menos tiempo.
Los ataques de fuerza bruta a menudo se usan cuando el atacante tiene una gran cantidad de hashes para atravesar. Después de ejecutar un diccionario común, a menudo comenzarán a eliminar contraseñas con ataques de fuerza bruta comunes. Contraseñas numeradas hasta diez, símbolos alfa y numéricos extendidos, alfanuméricos y comunes, símbolos alfanuméricos y extendidos. Dependiendo del objetivo del ataque, puede conducir con diferentes tasas de éxito. Intentar comprometer la seguridad de una cuenta en particular a menudo no es el objetivo.
Otro colaborador, Phoshi amplía la idea:
Brute-Force no es un de ataque viable, casi nunca. Si el atacante no sabe nada de su contraseña, no la obtendrá a través de la fuerza bruta a este lado de 2020. Esto puede cambiar en el futuro, a medida que avance el hardware( por ejemplo, uno podría usar todo, sin embargo, muchos lo tienen).ahora nuclea un i7, acelerando masivamente el proceso( Aún hablando años, sin embargo))
Si quieres estar -super-seguro, pega un símbolo ascii extendido allí( Mantén presionado, usa el teclado numérico para escribir un númeromás grande que 255).Hacer eso prácticamente asegura que una simple fuerza bruta es inútil.
Debería preocuparse por las posibles fallas en el algoritmo de cifrado de Truecrypt, que podría hacer que encontrar una contraseña sea mucho más fácil, y por supuesto, la contraseña más compleja del mundo es inútil si la máquina en la que la está utilizando se ve comprometida.
Anotaríamos la respuesta de Phoshi para que diga "La fuerza bruta no es un ataque viable, cuando se usa cifrado sofisticado de generación actual, prácticamente nunca".
Como hemos destacado en nuestro artículo reciente Explicación de los ataques de fuerza bruta: cómo toda la encriptación es vulnerable, los esquemas de cifrado aumentan la edad y la potencia del hardware, por lo que solo es cuestión de tiempo lo que solía ser un objetivo difícil( como el algoritmo de encriptación de contraseña NTLM de Microsoft)) es derrotable en cuestión de horas.
¿Tiene algo que agregar a la explicación? Suena apagado en los comentarios.¿Desea leer más respuestas de otros usuarios de Stack Exchange expertos en tecnología? Mira el hilo de discusión completo aquí.
