Es lo que ha demostrado HashCat, una herramienta Open Source de recuperación de contraseñas que es capaz de crackear cualquier contraseña de ocho caracteres para el ya veterano sistema NTLM de Windows en apenas dos horas y media, combinando la potencia de ocho tarjetas gráficas RTX 2080 Ti para realizar un ataque offline que superara la cifra de velocidad de cracking de 100 GH/s
#3:
#2 No estás equivocado, de hecho el titular es sensacionalista.
El contenido del meneo se refiere a un modelo de almacenamiento de contraseñas que no tiene las últimas novedades en seguridad y se requiere tener acceso físico al equipo o haber conseguido su base de datos local de contraseñas.
#8:
Para romper claves mayores de 8 caracteres aun sigue siendo mejor usar una llave inglesa
Hay una cosa que no entiendo y a ver si alguien que sepa me lo aclara. Entiendo que lo de trincar la contraseña a golpe de millones de combinaciones se encontraría con el problema de que la mayoría de los servicios se bloquean automáticamente al tercer intento.... o estoy equivocado?
#2 No estás equivocado, de hecho el titular es sensacionalista.
El contenido del meneo se refiere a un modelo de almacenamiento de contraseñas que no tiene las últimas novedades en seguridad y se requiere tener acceso físico al equipo o haber conseguido su base de datos local de contraseñas.
#3 Sabes que antes de esta demostracion, romper una contraseña de 8 caracteres, que use cualquiera de los 94 simbolos disponibles en tu teclado,requeria de unos 100 dias ?
Ahora por 25 dolares, la tienes en 2,5 horas.
Si eso no te parece suficiente como para afirmar que las contraseñas de 8 caracteres estan muertas,..
#10Si eso no te parece suficiente como para afirmar que las contraseñas de 8 caracteres estan muertas,..
No, no me parece suficiente.
Un sistema muy simple para que una contraseña corta siga siendo segura es aplicar un salteado e incrementar el número de veces que se hace hash sobre ella.
Por ejemplo una contraseña de 3 caracteres sobre la que se aplica un salteado y una combinación variada de hashes (sha256, sha512 y otros que requieran mucha memória) varios miles de veces por contraseña no será viable crackearla en un tiempo razonable.
Existen múltiples técnicas para reforzar una contraseña corta, simplemente el sistema específico del que trata el meneo no lo hace en suficiente medida.
#4 Evidentemente, si no tienes las contraseñas en fichero local y tienes que ir probando a través de conexión, esas cifras que da el artículo bajarían drásticamente.
Está claro que el sistema es adecuado si tienes acceso directo a un fichero donde se guardan todas las contraseñas cifradas.
Comentarios
Para romper claves mayores de 8 caracteres aun sigue siendo mejor usar una llave inglesa
#10 están muertas en NTLM con acceso al fichero local, sí. Sistema que como ya dice el artículo está obsoleto.
Esa misma contraseña de 8 caracteres en un sistema más moderno puede requerir años para romperse.
Si me dan una tarjeta de esas les digo yo la contraseña
Hay una cosa que no entiendo y a ver si alguien que sepa me lo aclara. Entiendo que lo de trincar la contraseña a golpe de millones de combinaciones se encontraría con el problema de que la mayoría de los servicios se bloquean automáticamente al tercer intento.... o estoy equivocado?
#2 No estás equivocado, de hecho el titular es sensacionalista.
El contenido del meneo se refiere a un modelo de almacenamiento de contraseñas que no tiene las últimas novedades en seguridad y se requiere tener acceso físico al equipo o haber conseguido su base de datos local de contraseñas.
#3 Entendido, gracias.
#3 Sabes que antes de esta demostracion, romper una contraseña de 8 caracteres, que use cualquiera de los 94 simbolos disponibles en tu teclado,requeria de unos 100 dias ?
Ahora por 25 dolares, la tienes en 2,5 horas.
Si eso no te parece suficiente como para afirmar que las contraseñas de 8 caracteres estan muertas,..
#10 Si eso no te parece suficiente como para afirmar que las contraseñas de 8 caracteres estan muertas,..
No, no me parece suficiente.
Un sistema muy simple para que una contraseña corta siga siendo segura es aplicar un salteado e incrementar el número de veces que se hace hash sobre ella.
Por ejemplo una contraseña de 3 caracteres sobre la que se aplica un salteado y una combinación variada de hashes (sha256, sha512 y otros que requieran mucha memória) varios miles de veces por contraseña no será viable crackearla en un tiempo razonable.
Existen múltiples técnicas para reforzar una contraseña corta, simplemente el sistema específico del que trata el meneo no lo hace en suficiente medida.
#2 a no ser que tengas el archivo y ataques directamente sobre el.
#4 Evidentemente, si no tienes las contraseñas en fichero local y tienes que ir probando a través de conexión, esas cifras que da el artículo bajarían drásticamente.
Está claro que el sistema es adecuado si tienes acceso directo a un fichero donde se guardan todas las contraseñas cifradas.
Ala, a añadir un número mas a 12345678 para sentirme a salvo.
#1:
01189998819991197253Algo mas de info :
https://www.theregister.co.uk/2019/02/14/password_length/ (ENG)