El fin de la contraseña de ocho caracteres: HashCat puede crackearlas en menos de 2,5 horas

Tal cual por no hablar también que si la web, app o plataforma en cuestión tienen una buena implementación y separan los salt de las hashes de las contraseñas en distintas bases de datos y tal, de nada les sirve ni aún desencriptando los hashes. A no ser que hackeasen ambos sitios a la vez.

Sensacionalismo puro.

No es para nada preocupante, una buena implementación Salt+Hash no requiere para nada que se encuentren en sitios distintos (aunque todos tenemos claro que si estan en sitios distintos ya alcanzas seguridad nivel supremo), más que nada porque puedes colocar el salt donde te salga del nardo (hombre, separarlos por ';' digamos que no...) y además añadir pepper. Y como los desordenes o hagas un pretratamiento de cada cadena (un buen rfc2898) y luego uno de la cadena completa... El atacante se come los mocos, porque no va a saber a que pertenece cada cosa.

Asi que eso de "md5 en 2,5 horas", vale vale, ahora intentalo con pbkdf2...

No es que este mal explicado, es que esta mal traducido de la fuente original; nada nuevo, ni extraño por aquí....

Eso que presumen de ser la publicación nº1.. y lo único que hacen es dedicarse a robar contenido, sin destacar la fuente.. 😉

Y creo que tú no llegas ni a eso. Date una vuelta por el artículo, recorriendo cada link y luego repites lo mismo.

El verbo "Robar" creo que es un poco fuerte. Si algo hacen en Xataka es facilitar las fuentes, cuando no son entrevistas directas.

y si encuentras la formula para generación de esas contraseñas, por que se basaran en algo

Como cuando se liberaban los nokia con proteccion sl3 q con un programa sacabas el hash y luego el programa de crack en no mas de 48h te daba un codigo q era el codigo de liberacion q no daban las compañias . Eso se hacia con minimo 2 graficas 6990

Exacto, es solo de modo offline. Con esta herramienta es posible crackear cualquier hash MD5, SHA1/256/512... En un máximo de 2.5 horas. Y eso suponiendo que sea de las contienen minúsculas, mayúsculas, números y símbolos, una normal, con solo minúsculas, por ejemplo, la crackearía en pocos minutos.

Según indican, es prueba y error masivo y en local, así que es el mejor de los casos para piratear la contraseña. Pruebas todo sin parar, hasta que te salga el correcto.

En un caso normal (una web), tienes el "desgaste" de lanzar la petición hacia el servidor, que este reaccione a ello y te responda, solo con eso seguramente las 2,5h se convertirán en semanas o meses (con una buena conexión y con una granja de servidores separados para hacer varias peticiones hacia la misma web, y si te pasas de cantidad de servidores, igual tiras la web que intentas piratear).
Sin contar que la web no disponga de ningún tipo de detección y bloqueo por ataque (que tristemente la mayoría no tiene).

El ejemplo que ponen es únicamente eficiente en ficheros cifrados que tengas a mano, y, aunque no habla del tipo de acceso a disco, daré por hecho que estaba en una SSD local, incluso si tienes ese fichero en una SD por usb, el proceso ya se ralentizará.

Se habla de hash. Es decir que cuando normalmente creas una contraseña, lo que crea el sistema es una cadena hash en base a ciertos algoritmos, y la contraseña se desecha, no se guarda. Cuando luego entras con tu contraseña, el sistema trata de obtener un hash, y si coincide con el guardado, entras.

Por lo tanto, nada que ver con las Web. Si el atacante logra tu hash bien por manipular la máquina físicamente o lo que fuera, ya no necesita conectarse a nada. Simplemtne offline comienza a analizar las posibles contraseñas que puedan generar ese hash de acuerdo a los algoritmos dominantes.

Esto no es como el Web me pide la contraseña y escribo"jhesjfdh". Ah, no era. Porque en unos cuantos intentos te van a bloquear. Si lees el artículo, utilizan potencia computacional brutal (mírate esos 100 GHs).

Código captcha, validación de dos pasos, SMS clave temporal.

A ver. El articulo no da mucha explicación al respecto.
Si tratas de penetrar/vulnerar cualquier sistema a traves de fuerza bruta, lo mas normal es que te bloquee al tercer intento o incluso no llegue ni a darte opcion (segun el sistema de seguridad).
Ahora bien, pueden darse 2 escenarios:
1- que hayas conseguido el archivo/base de datos donde se almacena el password. Lo mas probable es que dicho password se encuentre en forma de hash.
El hash, explicado de forma rapida, es el resultado de aplicar una encriptacion a un texto plano. Depediendo del sistema de encriptacion, el hash puede tener características reconocibles. Es este hash lo que se necesita para obtener el password, y se puede hacer offline si tienes la potencia adecuada.
2-que hayas conseguido ese hash a traves de alguna vulnerabilidad o te lo haya dado alguien (vete tu a saber).

Que alguien me corrija si me equivoco.

Salu2.

Lo que sería eficiente es hallar un sistema de eliminación temprana de hashes inválidos. Si se puede hallar un hash "parcial" que comparar con el objetivo, en vez de calcularlo completo puedes descartar los fallos mas rápido.

En eso tienes razón. Pero el asunto va un poco más allá.
Cuando un hacker logra robarse la base de datos de alguna página, por ejemplo Xataka, podrá obtener todas las contraseñas de 8 caractereres en esas 2 horas y media.... tardarán un par de días en descifrar todas las de 9 caracteres y un mes en todas las de 10.
Luego bastará relacionar la información de usuario (contraseña con correo electrónico) y empezar a probar; es muy común que las personas usen la misma contraseña para todo (foros, redes sociales, correos y bancos).
En mi caso, por mucho tiempo usaba una misma contraseña de 10 caracteres para todo, desde hará cosa de 6 años empecé a usar contraseñas distintas para cada página, pero la contraseña de toda la vida quedó en algunos lugares ... y error mío en Amazon también.
Amazon tiene un equipo de seguridad que compra estas contraseñas y en ellas estaba la mía, me dijeron que en la dark web se vendía una base de datos que relacionaba mi correo con mi contraseña.

Por suerte no pasó nada malo, pero me pareció interesante y además me hizo gracia que recibí decenas de correos electrónicos con el título "Sabemos que tu contraseña es 'xataka4eva' ... y además tenemos vídeos tuyos dándote cariño; danos 800$ en bitcoins y te dejamos en paz".

HASHCAT sirve para hacer fuerza bruta a los hash y verificar que palabra(en este caso contraseña) al momento de convertirla en hash tiene el mismo resultado que la contraseña de la victima en HASH, un ejemplo cuando entras a facebook lo que hace el login es hashear la contraseña que ingresaste y si coincide el hash con el que tienen ellos en su base de datos te deja ingresar, si no pues obviamente no te deja entrar a tu cuenta, y en este caso hashcat hace lo mismo, hashea las contraseñas que le des en un diccionario y si coincide con el HASH de la contraseña de la victima te da como resultado la contraseña en texto plano por eso no necesitas de internet ya que no se esta haciendo fuerza bruta directamente a la red social si no que se hace fuerza bruta al HASH de la contraseña solamente

Lo he leído y no lo he entendido. Por eso pregunto. Que debería ser lo normal.

Y solo un puñado admiten caracteres élficos =/

Hace años, uno de mis profesores de informática decía que las mejores contraseñas eran frases que no te atrevieras de decir en alto... vamos, meter en la frase palabras de connotación sexual o insultos (o las dos a la vez)

Te compadezco si tienes cuarenta contraseñas.

Ya, el problema es que un algoritmo de IA que sepa construir frases con sentido va a probar todas las combinaciones posibles. Es decir, después de "Las" te pondría un sustantivo femenimo en plural, después de "me" un verbo y así, construyendo frases con sentido ya no quedan tantas posibilidades y puede acabar llegando a la tuya, porque además todos bebemos de las mismas fuentes culturales y las frases serán en cierta medida predecibles . Lo mejor es utilizar muchos caracteres seguidos y aleatorios, como por ejemplo: "ahd%&s%(rjrdsawFhtTYK"3$35". Evidentente, necesitas un buen gestor de contraseñas con una contraseña maestra muy fuerte para guardar contraseñas de ese tipo. Doble factor cuando sea posible, a ser posible mediante llave FIDO, etc....

Pero no hay web que te permita guardar la contraseña en modo frase.

Y ahi aparece el problema, que acabas repitiendo la frase, y por tanto la contraseña, en varios servicios. Deberías modificar la frase según el servicio. Así por ejemplo dirías "Xataka es un blog de informática" o "PornHub es una pagina con contenido sexual".

Otro problema está si tienes que cambiar la contraseña periodicamente.

No se me había ocurrido.

1Password, 35€ bien invertidos anualmente o KeePass si lo quieres opensource y gratuito.
Si eres de Apple pues el llavero de iCloud ya te genera, te guarda y sincroniza contraseñas entre todos tus dispositivos.

Alternativas para todos los gustos.

y si te hackean precisamente el gestor de contraseñas, entonces que?

Pues sin problema, yo las vuelvo a cambiar.

Es más, yo no tengo ningún problema en enseñar mis contraseñas a mis amigos, total son contraseñas de 32 carácteres y de carácteres y símbolos. Las puedo cambiar en menos de 1 min.

La idea es que al gestor de contraseñas le pongas una clave segura de múchos caracteres, con 20-30 mezclando números, letras y símbolos ya lo pones bastante difícil, y es solo 1 clave a recordar. A eso le sumas un archivo de clave guardado en otra carpeta/ubicación y ya se lo pones bastante difícil a quién te robe el archivo de db del gestor de contraseñas.

Por supuesto, sin olvidarse de cambiar las claves cada cierto tiempo. Esa es la mejor protección.

Los buenos gestores guardan las contraseñas cifradas.

safeInCloud.

Pagas una vez y está en todas las plataformas: Apple Watch, iPhone, Android, iPad, Windows, MacOs, Chrome, Firefox, Safari..

Exactamente la misma funcionalidad de 1Password pero pagas 1 vez porque de nube le puedes poner la que más te guste: google drive, dropbox, webdav lo que sea. Obviamente se guardan encriptadas, por lo que sea cual sea el servicio que uses no pueden acceder a ellas y no puedes recuperarlas si pierdes la contraseña. Gracias a que no tienen que pagar costes de servidor con esto el coste mensual es 0, y funciona de 10, tanto sincronización, como funciones, me ha sorpendido que hasta siendo un solo tío logra sacar las nuevas características en todas las plataformas (como el autofill en iOS12) igual que 1Password.

La recomiendo 100%, una de las mejores apps que tengo.

Edit. Creo que tuve que pagar para la versión de iOS solo, la de MacOS era gratis o algo por el estilo. Pero vamos, que aunque fuesen ambas vale 100% lo que cuesta.

Es la misma que uso yo, en parte porque su extensión de navegador es la que más me gusta (que saca los datos desde el PC en lugar de algún servidor).

Dicho esto, su código es propietario, no está comprobado por ninguna empresa de seguridad, no tiene libro blanco. Vamos, que te tienes que fiar de que no tenga malas intenciones.

1Password es mejor en general, ciertamente en la interfaz, en su conexión con Have I been pawnd...

El tema es que cuando te registras en tantas webs y servicios, ni siquiera eso es viable, al final repites contraseñas. Contando que muchos de esos servicios pueden tener datos sensibles (tu dirección, e-mail, datos bancarios o similares, ...), se ha convertido en algo tan peligroso (o más) que la cerradura de tu casa.

Por ello, la única opción viable es no saber las contraseñas, disponer de una aplicación (ya sea de pago o no) que te almacene esas contraseñas y tenga una seguridad interna suficientemente grande para aguantar unas pocas décadas (por supuesto que en algún momento habrá que actualizarla) y nunca usar contraseñas de menos de 12-16 caracteres que incluyan mayúsculas, minúsculas, números y símbolos. Total, no las vas a memorizar, así que una contraseña de 20-25 caracteres tampoco es tan mala idea.

Aun así, las pruebas que hacen es contando que la aplicación destino a "hackear" no disponga de ninguna seguridad, un simple bloqueo del usuario después de X intentos fallidos y similar (como tienen muchos grandes servicios, pero no el 90% de las webs), es suficiente para pasar de 2,5 horas a varios años.

Aparte de todo esto, es recomendable que se cambien las contraseñas de servicios sensibles (los que contengan acceso bancario) cada año, máximo 2 años, por si tu usuario está recibiendo algún tipo de ataque, que lo investigado que tengan ya no les sirva de nada.

Y aun con todo eso, la contraseña de tu(s) e-mail(s) es lo más peligroso que tienes (es capaz de generar nuevas contraseñas solo con hacer la petición en la web/servicio original), cámbiala cada año mínimo y que nunca sea de menos de 20 caracteres.

Te olvidas del sim swap y del reciente hackeo a una empresa de distribución de códigos para verificación en 2 pasos; no me acuerdo del nombre de la empresa pero la noticia salio en Hak5.

Para los mortales la verificación en 2 pasos esta bien, pero lo mejor es la verificación en 4 pasos.

Bueno es lo que hacen para cosas del gobierno o en empresas muy grandes.

Pero no esta de más que tu cuenta principal de correo tenga protección por 4 pasos:
1. Contraseña
2. Verificación por teléfono
3. Verificación por app
4. Verificación por dispositivo fisico (como la titan security de google).

Esto es parte del sistema "Advanced protection" de google. Y la verdad es que no esta mal, porque al día de hoy nuestros correos personales son la llave de todo. De nuestras cuentas bancarias, redes sociales, respaldos online, etc.

Ya de paso le agregamos biometría, con lectura de huellas de las manos, los pies y ambos ojos.

La verificación en dos pasos no implica necesariamente SMS. Una muy popular y muy segura son tokens dependientes del tiempo que generas en el dispositivo móvil, que además funcionan completamente offline.

La verdad es que lo de los tokens es mas inseguro de lo que te piensas. Un generador de tokens se basa en un identificador, que combinado con el reloj genera un código válido. Teniendo ese identificador puedes generar los códigos con otro dispositivo.

Porque no tiene sentido poner una clave excesivamente compleja en un servicio que te da la misma información que las cartas que te meten en tu buzón sin ningún acuse de recibo ni seguridad (robar una carta es bastante más sencillo) por no hablar de que a los 3 intentos se suele bloquear.

Además de que la operativa de los bancos se basa en tarjetas de coordenadas, que bien utilizadas y sumado a verificación por SMS es más que suficiente. Con tu clave de 4 dígitos pueden ver tus movimientos y tu dinero, pero si no pueden tocar el dinero lo mismo te da que accedan que no.

Las contraseñas en internet deben de ser largas ya que lo unico que necesitas para obtener la cuenta es eso, la contraseña, en cambio en los bancos para poder retirar el dinero necesitas los 16 digitos, fecha de expiracion y CVV que eso ya es dificil de conseguir y aun se hace mas seguro con los 4 digitos del NIP, no es necesario de mas digitos para cuentas de banco o para tarjetas de credito

Uf, mucho confías. Varias veces al día, muchas personas ven la tarjeta por delante y por detrás. Y el NIP se ha crackeado con terminales apócrifas.

Conozco más de un caso.

Es que no funciona así. Lo que hace hashcat es comprobar cada posible contraseña por fuerza bruta, contra el hash que has obtenido por otros medios. Si te muestra finalmente la contraseña, seguro que es la correcta ya que el hash la valida.

Ademas del hash necesitas la función que genera el hash, no es lo mismo MD5 que SHA1, ademas el hash es un numero, nada me impide sumarle un numero aleatorio como 141592 al hash que he obtenido haciendo un md5sum y si esa información no la tienes no te sirve de nada.

Por fuerza bruta necesitaría varios siglos el Mare Nostrum en exclusiva.

Algún tipo de algoritmo debe haber.

Pues creo que no leiste bien por que nunca mencionaron que querian acceder a un servicio

Pero el artículo habla de offline. Por lo visto tienen el hash y a base de intentos, supongo que por medio de algún algoritmo y no fuerza bruta, van generando contraseñas, de las que se obtiene su hash, hasta que coincida validando. Supongo que el hash lo han obtenido de alguna máquina o interceptando las conexiones encriptadas, ya que es lo que se enviaría para validar la contraseña al entrar a una cuenta en intranet o en internet. Las empresas usan active directory a mansalva.

El único detalles que se me hace de película, porque hay varias capas que hay que ir validando.

Pero es que aqui estis todos mezclando churras con merinas. Hablan de fuerza bruta de contraseñas offline , es decir, cuando alguien consigue los hashes de las contraseñas, las puede descargar a un ordenador, y realizar fuerza bruta contra esos hashes.

De lo que vosotros hablais de bloqueos a 3 intentos, etc. Son ataques de fuerza bruta a aplicaciones web, que no tienen nada que ver con lo que se dice en el articulo, ni con hashcat..

no se refieren a ataques contra tarjetas ...ni pins, ni nada por el estilo.

Se refiere al cracking de hashes offline....

Seguis confundiendo el cracking offline con atques de fuerza bruta a aplicaciones web. No tienen nada que ver.

El titular es correcto.

Pues que añadan esa coletilla de "offline" en el titular.

Ese titular crea alarma, luego entras, ves la noticia y dices, psss