Usted conoce el ejercicio: use una contraseña larga y variada, no use la misma contraseña dos veces, use una contraseña diferente para cada sitio. ¿Usar una contraseña corta es realmente tan peligroso?
La sesión de preguntas y respuestas de hoy nos llega por cortesía de SuperUser, una subdivisión de Stack Exchange, una agrupación de sitios web de preguntas y respuestas dirigida por la comunidad.
La pregunta
El usuario del lector SuperUser31073 tiene curiosidad por saber si realmente debería prestar atención a esas advertencias de contraseña corta:
Al usar sistemas como TrueCrypt, cuando tengo que definir una nueva contraseña, a menudo me informan que usar una contraseña corta es inseguro y "muy fácil" de romper por fuerza bruta.
Siempre uso contraseñas de 8 caracteres de longitud, que no se basan en palabras del diccionario, que consisten en caracteres del conjunto A-Z, a-z, 0-9
Es decir. Yo uso contraseña como sDvE98f1
¿Qué tan fácil es descifrar dicha contraseña por fuerza bruta? Es decir. Qué rápido.
Sé que depende mucho del hardware perotal vez alguien podría darme una estimación de cuánto tiempo tomaría hacer esto en un núcleo dual con 2GHZ o lo que sea para tener un marco de referencia para el hardware.
Para el ataque de fuerza bruta, una contraseña de este tipo no solo necesita recorrer todas las combinaciones, sino también intentar descifrar con cada contraseña adivinada, que también necesita algo de tiempo.
Además, ¿hay algún software para hackear TrueCrypt por fuerza bruta porque quiero intentar descifrar por fuerza bruta mi propia contraseña para ver cuánto tiempo lleva si es realmente "muy fácil"?
¿Las contraseñas cortas de caracteres aleatorios están realmente en riesgo?
La respuesta
El colaborador de SuperUser Josh K. destaca lo que necesitaría el atacante:
Si el atacante puede obtener acceso al hash de contraseña, a menudo es muy fácil aplicar fuerza bruta, ya que simplemente implica contraseñas hash hasta que los hash coincidan.
La "fuerza" del hash depende de cómo se almacena la contraseña. Un hash MD5 puede tardar menos tiempo en generarse que un hash SHA-512.
Windows solía (y puede que todavía no lo sé)almacene las contraseñas en un formato hash LM, que en mayúscula la contraseña y la dividió en dos fragmentos de 7 caracteres que luego fueron hash. Si tenía una contraseña de 15 caracteres, no importaría porque solo almacenaba los primeros 14 caracteres y era fácil forzar porque no estaba forzando una contraseña de 14 caracteres, estaba forzando dos contraseñas de 7 caracteres.
Si siente la necesidad, descargue un programa como John The Ripper o Cain & Abel (enlaces retenidos) y pruébelo.
Recuerdo haber podido generar 200,000 hashes por segundo para un hash LM. Dependiendo de cómo Truecrypt almacena el hash, y si se puede recuperar de un volumen bloqueado, podría llevar más o menos tiempo.
Los ataques de fuerza bruta se usan a menudo cuandoel atacante tiene que pasar por un gran número de hashes. Después de ejecutar un diccionario común, a menudo comenzarán a eliminar las contraseñas con ataques comunes de fuerza bruta. Contraseñas numeradas hasta diez, símbolos alfabéticos y numéricos extendidos, alfanuméricos y comunes, símbolos alfanuméricos y extendidos. Dependiendo del objetivo del ataque, puede conducir con diferentes tasas de éxito. Intentar comprometer la seguridad de una cuenta en particular a menudo no es el objetivo.
Otro colaborador, Phoshi amplía la idea:
La fuerza bruta no es un ataque viable, casi siempre. Si el atacante no sabe nada acerca de su contraseña, no la está obteniendo a través de la fuerza bruta en este lado de 2020. Esto puede cambiar en el futuro, a medida que avanza el hardware (por ejemplo, uno podría usar todos los muchos) ahora los núcleos en un i7, acelerando masivamente el proceso (aunque todavía hablando años)
Si quieres ser -súper- seguro, pega unsímbolo de ascii extendido allí (Mantenga presionada la tecla Alt, use el teclado numérico para escribir un número mayor que 255). Hacer eso garantiza que una fuerza bruta simple sea inútil.
Debería preocuparse por posibles fallas enEl algoritmo de cifrado de truecrypt, que podría facilitar la búsqueda de una contraseña, y por supuesto, la contraseña más compleja del mundo es inútil si la máquina en la que la está utilizando está en peligro.
Anotamos la respuesta de Phoshi para que lea "La fuerza bruta no es un ataque viable, cuando se usa un cifrado sofisticado de la generación actual, casi siempre".
Como destacamos en nuestro artículo reciente,Explicación de los ataques de fuerza bruta: cómo todo el cifrado es vulnerable, la edad de los esquemas de cifrado y la potencia del hardware aumentan, por lo que es solo cuestión de tiempo antes de que lo que solía ser un objetivo difícil (como el algoritmo de cifrado de contraseña NTLM de Microsoft) sea vencible en cuestión de horas.
¿Tienes algo que agregar a la explicación? Suena apagado en los comentarios. ¿Desea leer más respuestas de otros usuarios de Stack Exchange expertos en tecnología? Mira el hilo de discusión completo aquí.
