¿Cómo funciona realmente el descifrado de contraseñas?

Un ejemplo de un programa de craqueo (con código fuente) es John the Ripper.
Suponiendo que tiene una lista de hashes de contraseñas, tal vez desde su propia máquina, alimenta el archivo passwd reconstruido a John y lo pone en marcha. El programa utiliza una lista de palabras (las contraseñas se sabe que funcionan en otros lugares, como t00r y 12345, y diccionarios en varios idiomas naturales, y listas de Star Trek / Tolkien, además de que puede agregar su propia jerga específica de la industria), genera hashes e intenta hacer coincidir los hash con los del archivo de contraseña. También hay listas de reglas para la modificación de palabras: intente agregar 2 al final, o transcriba leetspeek ( [correo electrónico protegido] -> hacker), intente el nombre de usuario o las variantes del nombre personal (por ejemplo, intente “andrew2” para “Andrew Webber “. De lo contrario, el programa puede recurrir a la fuerza bruta real (probar todas las posibles contraseñas de 8 caracteres, etc.). Eso lleva mucho tiempo para los hashes seguros y contraseñas largas, miles de millones de años, potencialmente. Pero dados unos pocos cientos de contraseñas típicas, es probable que pueda descifrar un par en unos segundos.
Las variantes de John se ejecutarán en GPU y se pueden particionar para ejecutar en clústeres.
Ver también mesas Rainbow.
La fuerza de los esquemas de hashing de contraseñas varía sustancialmente. Uno de los peores es LM: las contraseñas están limitadas a mayúsculas, con una longitud máxima de 8 caracteres, más la contraseña, según recuerdo, está en dos grupos de 4 caracteres que se pueden descifrar por separado. Unix DES normalmente tiene un límite de 8 caracteres, lo que significa que en algunas implementaciones las contraseñas se truncan silenciosamente y “battery.correct.staple” coincide con “batería”. MD5 y SHA tardan más en dividirse (por lo tanto, más tiempo en descifrar de una lista de palabras) y las implementaciones generalmente permiten contraseñas largas.

Related Content

Cómo hackear un sitio universitario desde larga distancia

¿Por qué los desarrolladores de aplicaciones no hacen que las aplicaciones pagas estén SOLAMENTE disponibles como compras dentro de la aplicación dentro de la versión lite para impedir que los hackers hagan que las aplicaciones desarrolladas costosamente se puedan descargar de forma gratuita?

¿Cuáles son algunos virus informáticos (gusanos útiles) que infectan un sistema y luego lo protegen de nuevos ataques?

¿Qué conocimiento tienen la mayoría de los hackers?

¿Cómo comenzó la piratería informática?

para responder en parte a la sección sobre la cantidad de recursos informáticos que tomaría, definitivamente no tomaría un piso completo de mainframes. La mayor parte de la piratería se puede / se puede hacer desde una computadora portátil. Además, la mayoría de los piratas informáticos corren a través de otras computadoras para llegar a sus objetivos, en parte para preservar el anonimato y en parte para usar esos recursos informáticos. Debido a que no puedo responder a su pregunta en su totalidad, sugeriría leer libros expuestos de piratería y visitar la Conferencia de piratería de DEF CON®. La piratería de libros expuestos es realmente fascinante y una buena lectura, incluso si no estás interesado en la jerga tecno que contiene.

Johnmark Glaze

Hay dos formas de descifrar contraseñas

Ataques de 1 diccionario

Ataque de fuerza bruta 2

El ataque de diccionario es que tienes una lista que contiene 100 palabras de ejemplo y vas a probar todas esas 100 palabras para ver si una es la correcta

El ataque de fuerza bruta es que probarás todas las combinaciones que tengas

por ejemplo :

123

321

213

312

321

etc.

como ve, le dará la contraseña al final, pero puede estar muerto entonces … Lleva mucho tiempo obtener la contraseña, especialmente si es compleja.

Johnmark Glaze

More Interesting

¿Qué debo hacer después de piratear un sitio web de redes sociales?

Quien es Lulzsec? ¿Qué es el barco Lulz? ¿Qué técnica utilizan para hackear sitios web de una manera tan impresionante?

Complementos de Firefox: ¿Cuáles son buenos complementos para Internet y la seguridad informática?

¿Estaba Rusia involucrada en el ataque a la red informática de la Casa Blanca?

¿Cuáles son todos los conceptos de programación de bajo nivel que debo conocer para la investigación de seguridad y la programación en C?

¿Cómo implementó Venturebeat este increíble método para compartir?

¿Qué son las herramientas de código abierto para la auditoría de seguridad web?

¿Los hackers descubren vulnerabilidades por prueba y error? Si no, ¿cuál es un método sistemático para identificar vulnerabilidades?

¿Alguien romperá finalmente Diablo III para jugar fuera de línea?

¿Cómo descifro una contraseña de Facebook? Quiero aprender a hackear como los grandes. ¿Donde debería empezar? ¿Hay buenos libros o sitios web de tutoriales que pueda usar para enseñarme? ¿Dónde puedo aprender a crear un laboratorio de piratería de práctica en el hogar?

¿Dónde puedo encontrar información sobre las vulnerabilidades del navegador que le permiten ver el historial web de un usuario?

¿Cómo sabemos cuándo se piratea nuestro teléfono?

¿Cómo sabría si mi teléfono ha sido pirateado y transferido a un dispositivo madre?

¿Los principales navegadores implementan CRL? (¿Y si no, Pórque no?)

¿Cómo puede garantizar la interacción humana con su aplicación además de aplicar un sistema captcha?