De siempre se nos han dado consejos sobre cómo deben ser las contraseñas que usemos, su longitud, los caracteres a usar, bla bla bla Cuantas veces habremos ido a resolver algún problema a un amigo, conocido o cliente con su ordendador y hemos visto que no tienen contraseña o la que tienen es 'relativamente fácil'.
A lo que vamos! Hace unas semanas, andaba yo leyendo el libro 'El arte de la Intrusión' [1] y en uno de sus capitulos se proponía una línea de un fichero de contraseñas y decía que 'fácilmente' se averiguaba el valor cifrado que en ella se escondía. Sé que para mucha gente esta frase es una evidencia, un juego de niños tan sencillo que no merecería más mención pero a mi me picó la curiosidad. Cierto es que sabía de la existencia de herramienta de 'recuperacion' de contraseñas como "John the Ripper" [2] o "Caín & Abel" [3] pero nunca había estado más de 10 minutos con ellas.
Esta vez, estaba decidido a comprobar la validez de la afirmación hecha por el libro. Me puse a buscar software de 'recuperación de contraseñas': los mencionados John y "Caín & Abel", diccionarios de palabras para ataques de diccionario [4], tablas arcoiris (suena mejor en inglés 'rainbow tables' [5]), Ophcrack [6], MdCrack [7], L0phtCrack [8]
Armado con una buena cantidad de programas y mis mínimos conocimientos me puse a enredar. Instalo John, Caín, MdCrack y Ophcrack; pruebo cada uno de ellos e intento ataques de fuerza bruta. Viendo la cantidad de tiempo que este tipo de ataques puede emplear me paso a los de diccionario. Como loco busco listados de palabras (wordlist [9]), los pruebo pero como no sé si los listado son eficientes no sé valorar qué software es el mejor. Mientras enredaba con los programas veía un tercer tipo de ataques en el que se usaban las "Rainbow tables" [5] Buscando, buscando me encontré con Ophcrack [6] que, por lo poco que he probado, parece ser una pequeña joya. Os reconozco que no he sido demasiado meticuloso en mis pruebas pero os cuento lo que en ellas ví, está en vuestras manos el creeros lo que os diga a continuación.
Probando ataques de fuerza bruta
Lo siento, pero probando con contraseñas alfanuméricas de más de 6 caracteres el tiempo estimado de duración del proceso era daselentador así que lo dejé para otro día.
Probando ataques de diccionario
Bien sea por el entorno gráfico o porque soy un inutil, me gustó más Caín que John the Ripper (L0phtCrack no lo pude probar porque la copia que me descargué me reinició el equipo y lo desinstalé después de ver qué podía haber pasado). En un rato, serían unos 20 o 30 minutos (no me acuerdo bien porque lo dejé puesto mientras hacía unos recados y al volver la había sacado y ya estaba probado con las demás que le puse), Caín me averigüó una contraseña alfanumérica (en minúsculas) de 9 caracteres. Con esto no digo que con las demás herramientas no se pueda hacer mejor pero, en hasta el momento, no lo he conseguido.
Probando ataques de criptoanálisis
Para estas pruebas usé Caín y Ophcrack, junto con las tablas arcoiris (rainbow tables) que este último trae en su versión de LiveCD. No sé con cual quedarme ya que ambas aplicaciones tardaron menos de 30 segundos en mostrarme dos contraseñas alfanuméricas de más de 8 caracteres (en la primera prueba fué más rápido Caín pero en la segunda lo fué Ophcrack)
Conclusiones
No sé vosotros pero yo, desde ya, intentaré ser más cuidadoso con mis contraseñas 🙂
Nota: las pruebas siempre han sido hechas sobre un fichero de contraseñas de usuarios de un equipo Windows XP.
La verdad no voy a negar que son buenos programas, pero una forma de hacer que tome mucho tiempo para que decifren las contraseñas es agregandole caracteres especiales es decir !”##$$%&//(())==??? etc, ya que requiere mas tiempo por eso siempre se aconseja q utilizen numeros y estos caracteres en las constraseñas.
Hola GaBrIeL,
tienes razón en lo que dices de los caracteres especiales pero la pregunta es: ¿qué tanto por ciento de los usuarios los utilizan en sus contraseñas? En mi opinión, el número es demasiado bajo 🙁