Cómo intentar descifrar una contraseña usted mismo para comprobar su seguridad

El artículo probó 3 contraseñas diferentes con una herramienta de descifrado de contraseñas de código abierto para descubrir qué método funciona realmente cuando se trata de seguridad de contraseñas.

Tabla de contenido

¿Qué es el descifrado de contraseñas?

Cómo intentar descifrar una contraseña usted mismo para comprobar su seguridad

Cuando crea una cuenta en un servicio en línea, el proveedor generalmente encripta su información de inicio de sesión en sus servidores. Esto se hace utilizando un algoritmo para crear un "hash", una cadena aleatoria aparentemente única de letras y números para su contraseña. Por supuesto, no es realmente aleatorio, sino una cadena de caracteres muy específica que sólo tu contraseña puede generar, pero para el ojo inexperto parece un desastre.

Convertir una palabra en un hash es mucho más rápido y sencillo que "decodificar" el hash nuevamente en una palabra. Entonces, cuando usted establece una contraseña, el servicio en el que inicia sesión ejecuta su contraseña a través de un hash y almacena el resultado en sus servidores.

Si este archivo de contraseña se filtra, los piratas informáticos intentarán descubrir su contenido descifrando la contraseña. Dado que cifrar contraseñas es más rápido que descifrarlas, los piratas informáticos configurarán un sistema que tome las contraseñas potenciales como entrada, las cifre utilizando el mismo método que el servidor y luego compare los resultados con una base de datos de contraseñas.

Si el hash de una contraseña potencial coincide con cualquier entrada en la base de datos, el hacker sabe que cada intento coincide con la contraseña potencial probada.

Cómo descifrar tus propias contraseñas usando HashCat

Intente descifrar algunas de las contraseñas generadas en el artículo para ver lo fácil que es. Para ello, el ejemplo utilizará Hashcat , una herramienta de descifrado de contraseñas gratuita y de código abierto que cualquiera puede utilizar.

Para estas pruebas, el ejemplo descifrará las siguientes contraseñas:

  • 123456 : Una contraseña clásica y una pesadilla de ciberseguridad, 123456 es la contraseña más utilizada en el mundo . NordPass calculó que 3 millones de cuentas usaban 123456 como contraseña, incluidas 1,2 millones que protegían cuentas de nivel corporativo.
  • ¡Susan48! :Una contraseña que sigue patrones que la mayoría de los usuarios usarían para crear contraseñas seguras. En general, esto cumple con los criterios de protección de contraseña básica, pero, como exploraremos más adelante, tiene algunas debilidades importantes que pueden explotarse.
  • t9^kJ$2q9a : una contraseña generada usando la herramienta de Bitwarden. Está configurado para generar una contraseña de 10 caracteres con letras mayúsculas y minúsculas, símbolos y números.

Ahora, encripte la contraseña usando MD5. Así es como se verían las contraseñas si estuvieran en un archivo de contraseñas guardado:

  • 123456 : e10adc3949ba59abbe56e057f20f883e
  • ¡Susan48! :df1ce7227606805745ee6cbc644ecbe4
  • t9^kJ$2q9a : 450e4e0ad3ed8766cb2ba83081c0a625

Ahora, es el momento de descifrarlos.

Realizar un jailbreak simple usando el método de ataque de diccionario

Cómo intentar descifrar una contraseña usted mismo para comprobar su seguridad

Para comenzar, realicemos un ataque de diccionario, uno de los métodos de ataque de contraseña más comunes. Se trata de un ataque simple en el que el hacker toma una lista de contraseñas potenciales, le pide a Hashcat que las convierta a MD5 y ve si alguna de las contraseñas coincide con las 3 entradas anteriores. Para esta prueba, utilizaremos el archivo "rockyou.txt" como nuestro diccionario, que es una de las mayores filtraciones de contraseñas de la historia.

Para comenzar a descifrar, el autor del artículo fue a la carpeta Hashcat, hizo clic derecho en un espacio vacío y presionó Abrir en Terminal . Ahora que la Terminal está abierta y configurada en el directorio Hashcat, invoque la aplicación Hashcat con el siguiente comando:

.\hashcat -m 0 -a 0 passwordfile.txt rockyou.txt -o results.txt

Esto es lo que hace el comando:

  • .\hashcat llama a Hashcat.
  • -m 0 : especifica el tipo de codificación a utilizar. Este caso utilizará MD5, listado como 0 en la documentación de ayuda de Hashcat.
  • -a 0 : Especifica el ataque a realizar. La documentación de ayuda de Hashcat enumera el Ataque de diccionario como un cero, por eso lo llamamos así aquí.
  • passwordfile.txt rockyou.txt : El primer archivo contiene las 3 contraseñas cifradas que configuramos anteriormente. El segundo archivo es la base de datos completa de contraseñas de rockyou.
  • -o results.txt : Esta variable determina dónde colocamos los resultados. En el comando, coloca las contraseñas descifradas en un archivo TXT llamado "resultados".

Aunque rockyou era enorme, Hashcat los procesó todos en 6 segundos. En el archivo resultante, Hashcat dice que descifró la contraseña 123456, pero las contraseñas Susan y Bitwarden siguen sin descifrarse. Esto se debe a que otra persona usó 123456 en el archivo rockyou.txt, pero nadie más usó la contraseña Susan o Bitwarden, lo que significa que eran lo suficientemente seguras para sobrevivir a este ataque.

Realizar un jailbreak más complejo utilizando ataques de fuerza bruta ocultos

Cómo intentar descifrar una contraseña usted mismo para comprobar su seguridad
Realizar un ataque de fuerza bruta con Hashcat

Los ataques de diccionario son efectivos cuando alguien usa la misma contraseña que se encuentra en una lista grande de contraseñas. Son rápidos y fáciles de implementar, pero no pueden descifrar contraseñas que no están en el diccionario. Por lo tanto, si realmente quieres probar tu contraseña, necesitas utilizar ataques de fuerza bruta.

Si los ataques de diccionario simplemente toman una lista preestablecida y los convierten uno por uno, entonces los ataques de fuerza bruta hacen lo mismo pero con todas las combinaciones imaginables. Son más difíciles de implementar y toman más tiempo, pero eventualmente descifrarán cualquier contraseña. Como veremos pronto, esa capacidad a veces puede llevar mucho tiempo.

Aquí está el comando utilizado para realizar un ataque de fuerza bruta "real":

.\hashcat -m 0 -a 3 target.txt --increment ?a?a?a?a?a?a?a?a?a?a -o output.txt

Esto es lo que hace el comando:

  • -a 3 : Esta variable define el ataque que queremos realizar. La documentación de ayuda de Hashcat enumera los ataques de fuerza bruta como el número 3, por eso se los llama aquí.
  • target.txt : Archivo que contiene la contraseña cifrada que queremos descifrar.
  • --increment : este comando le dice a Hashcat que pruebe todas las contraseñas que tengan un carácter, luego dos, luego tres, etc. hasta que encuentre una coincidencia.
  • ?a?a?a?a?a?a?a?a?a?a?a : Esto se llama "máscara". Las máscaras nos permiten decirle a Hashcat qué caracteres se utilizan en qué posiciones. Cada signo de interrogación especifica una posición de carácter en la contraseña y la letra especifica lo que intentamos en cada posición. La letra "a" representa letras mayúsculas y minúsculas, números y símbolos, por eso esta máscara dice "Prueba todo en cada posición". Esta es una máscara terrible, pero veremos cómo usarla efectivamente más adelante.
  • -o output.txt : Esta variable determina dónde colocamos los resultados. El comando de ejemplo coloca las contraseñas descifradas en un archivo TXT llamado "output".

Incluso con esta pésima máscara, la contraseña 123456 se descifra en 15 segundos. Aunque es la contraseña más común, es una de las más débiles.

Contraseña "Susan48!" Mucho mejor: la computadora dice que tomará 4 días descifrarlo. Sin embargo, hay un problema. ¿Recuerdas cuando el artículo decía que la contraseña de Susan tenía algunos fallos graves? El mayor error es que las contraseñas se construyen de forma predecible.

Al crear contraseñas, a menudo colocamos elementos específicos en lugares específicos. Puedes imaginar que la creadora de la contraseña, Susan, intentó usar "susan" al principio, pero le pidieron que agregara letras mayúsculas y números. Para que fuera más fácil recordarlo, escribieron con mayúscula la primera letra y agregaron números al final. Entonces tal vez un servicio de inicio de sesión solicitó un símbolo, por lo que quien creó la contraseña lo agregó al final.

Entonces, podemos usar la máscara para indicarle a Hashcat que solo pruebe caracteres específicos en lugares específicos para aprovechar lo fácil que es para las personas adivinar al crear contraseñas. En esta máscara, "?u" solo usará letras mayúsculas en esa posición, "?l" solo usará letras minúsculas y "?a" representa cualquier carácter:

.\hashcat -m 0 -a 3 -1 ?a target.txt ?u?l?l?l?l?a?a?a -o output.txt

Con esta máscara, Hashcat descifró la contraseña en 3 minutos y 10 segundos, mucho más rápido que 4 días.

La contraseña de Bitwarden tiene 10 caracteres y no utiliza ningún patrón predecible, por lo que se necesitaría un ataque de fuerza bruta sin ninguna máscara para descifrarla. Desafortunadamente, cuando le pedí a Hashcat que hiciera eso, arrojó un error que decía que el número de combinaciones posibles excede el límite de números enteros. El experto en seguridad informática dice que Bitwarden tardó 3 años en descifrar la contraseña, así que eso es suficiente.

Cómo mantener su cuenta a salvo del robo de contraseñas

Los principales factores que impiden que el artículo descifre la contraseña de Bitwarden son su longitud (10 caracteres) y su imprevisibilidad. Por lo tanto, al crear una contraseña, intente hacerla lo más larga posible y distribuir símbolos, números y letras mayúsculas de manera uniforme a lo largo de la contraseña. Esto evita que los piratas informáticos utilicen máscaras para predecir la ubicación de cada elemento y hace que sea mucho más difícil de descifrar.

Probablemente conozcas los viejos refranes sobre contraseñas como "utilizar una matriz de caracteres" y "hacerla lo más larga posible". Esperamos que sepas por qué la gente recomienda estos consejos útiles: son la diferencia clave entre una contraseña fácil de descifrar y una segura.

Sign up and earn $1000 a day ⋙

Leave a Comment

7 formas de numerar páginas en Word que debes conocer

7 formas de numerar páginas en Word que debes conocer

Hay muchas formas de numerar páginas en Word entre las que podemos elegir, dependiendo de los requisitos para numerar páginas en Word.

Cómo ajustar la pantalla exterior del Galaxy Z Flip3

Cómo ajustar la pantalla exterior del Galaxy Z Flip3

En el dispositivo Galaxy Z, hay una función para personalizar la pantalla exterior, donde puedes elegir cualquier imagen como fondo de pantalla para la pantalla exterior en el Galaxy Z Flip3.

Cómo crear accesos directos a aplicaciones de música en teléfonos Samsung

Cómo crear accesos directos a aplicaciones de música en teléfonos Samsung

En los teléfonos Samsung, existe una opción para crear accesos directos a aplicaciones para escuchar música en el teléfono, como Zing, Spotify o aplicaciones de podcast.

Señales de que estás realmente listo para una relación seria

Señales de que estás realmente listo para una relación seria

Si te preguntas si estás listo para la relación seria que deseas, consulta esta lista de formas en las que puedes saber si estás listo o si tienes más trabajo por hacer:

¿Deben dejarse las puertas abiertas en invierno?

¿Deben dejarse las puertas abiertas en invierno?

El clima frío hace que muchas personas tengan miedo de abrir las ventanas en invierno. Sin embargo, ¿es bueno mantener las puertas cerradas todo el tiempo en invierno? ¿Deben abrirse las ventanas en invierno? ¡Descubrámoslo juntos!

Cómo conseguir un mes de Discord Nitro gratis con Opera GX

Cómo conseguir un mes de Discord Nitro gratis con Opera GX

Opera GX, el navegador web centrado en los juegos, ha llegado a una interesante asociación con Discord, ofreciendo a los usuarios una prueba gratuita de un mes de Discord Nitro.

Cómo grabar rápidamente la pantalla de una computadora con Windows 10

Cómo grabar rápidamente la pantalla de una computadora con Windows 10

Actualmente, existen muchos programas de grabación de pantalla de computadora compatibles con Win 10, que le ayudan a grabar la pantalla de su computadora fácilmente, especialmente para jugadores.

Cómo desactivar los comentarios al transmitir en vivo en Facebook

Cómo desactivar los comentarios al transmitir en vivo en Facebook

Al ver una transmisión en vivo en Facebook, los comentarios se muestran automáticamente en la pantalla de video en línea. Entonces los espectadores conocerán los comentarios de otras personas.

15 cosas que puedes hacer con ChatGPT

15 cosas que puedes hacer con ChatGPT

Desde su lanzamiento en noviembre de 2022, ChatGPT ha recibido mucha atención por su gran variedad de usos. Para ayudarle a aprovechar al máximo esta herramienta, aquí hay 15 formas en que puede utilizar ChatGPT.

Consejos para encontrar vuelos baratos en Gemini

Consejos para encontrar vuelos baratos en Gemini

Los widgets de Gemini ayudan a este asistente de inteligencia artificial a llegar a los usuarios en más aspectos, como encontrar pasajes de avión baratos a través del widget Google Flights.

Parámetros de retorno con nombre en Golang

Parámetros de retorno con nombre en Golang

En Golang, los parámetros de retorno con nombre a menudo se denominan parámetros con nombre. Golang permite nombrar los parámetros de retorno o los resultados de las funciones en la firma o definición de la función.

Instrucciones para configurar el fondo de pantalla del chat en WhatsApp

Instrucciones para configurar el fondo de pantalla del chat en WhatsApp

WhatsApp tiene una función para cambiar el fondo de pantalla del chat, que permite a los usuarios configurar temas de chat en WhatsApp. Los usuarios podrán elegir entre 30 fondos diferentes para sus chats, o utilizar sus imágenes personales como fondos de chat en WhatsApp.

¿Qué es un archivo FLV? ¿Cómo abrir archivos FLV en la computadora?

¿Qué es un archivo FLV? ¿Cómo abrir archivos FLV en la computadora?

A menudo descargas vídeos de Internet a tu ordenador para verlos sin conexión y con frecuencia ves archivos FLV. ¿Tienes dificultades para descubrir cómo abrirlos? Hoy le brindaremos información sobre los archivos de video FLV en el siguiente artículo.

Cómo ver el archivo de noticias de Facebook en el teléfono y la computadora

Cómo ver el archivo de noticias de Facebook en el teléfono y la computadora

Para revisar las noticias publicadas en Facebook, debes activar el archivo de noticias en Facebook. Todos los mensajes de Facebook después de activar el modo de archivo se guardarán en el archivo para que puedas revisarlos cuando lo necesites.

Último código VNG de MU Luc Dia y cómo canjearlo

Último código VNG de MU Luc Dia y cómo canjearlo

Puedes canjear códigos de juego MU Luc Dia VNG por Zen y otras monedas.