¿Quieres crackear la contraseña del administrador local de Windows con la cuenta de invitado o con otro usuario sin privilegios? Pues resulta que el API LogonUserW por defecto no implementa ningún bloqueo por intentos fallidos de login... consecuencia: Jean-Pierre Lesueur (@DarkCoderSc) nos demuestra con su herramienta win-brute-logon lo fácil que sería obtener por fuerza bruta las credenciales localmente, desde Windows XP hasta la última release de Windows 10 (1909).
#6 Ya , puedes hacer todos los intentos que quieras, pero el número de contraseñas es exponencial... Hacer pruebas de fuerza bruta funciona cuando hay diccionarios y derivados..., pero intenta prueba a hacer intentos al azar para crackear el de #4. Ojo, no estoy diciendo que no sea una cagada de Microchof... pero vamos si no pones password obvios tampoco es taaaaan grave. Otra cosa es que la gente use passwords obvios...
#1 Si no hay límite de intentos, puedes hacer las pruebas que quieras, pero siempre empiezas por el diccionario y sus variantes, para ahorrar "algo" de tiempo.
No he visto un solo password con mayúsculas, símbolos y números, ni con una longitud suficiente para dar seguridad a tu cuenta, aunque el Tip de bloqueo de cuenta tras x intentos es bien
Comentarios
Fácilmente si está en un diccionario...
#1 sacto. MiPasguoRdEsIncrackeavle.
#6 Ya , puedes hacer todos los intentos que quieras, pero el número de contraseñas es exponencial... Hacer pruebas de fuerza bruta funciona cuando hay diccionarios y derivados..., pero intenta prueba a hacer intentos al azar para crackear el de #4. Ojo, no estoy diciendo que no sea una cagada de Microchof... pero vamos si no pones password obvios tampoco es taaaaan grave. Otra cosa es que la gente use passwords obvios...
#1 Si no hay límite de intentos, puedes hacer las pruebas que quieras, pero siempre empiezas por el diccionario y sus variantes, para ahorrar "algo" de tiempo.
por fuerza bruta????? puedes quitar cualquier contraseña de windows con su disco de arranque
#5 Si tienes máquinas, con usuarios de fuera de tu organización, el temor a una "elevación de privilegios" siempre está en tu mente.
#5 la cosa es hacerlo en remoto y sin control físico del equipo
Pussy en octava posición.
No he visto un solo password con mayúsculas, símbolos y números, ni con una longitud suficiente para dar seguridad a tu cuenta, aunque el Tip de bloqueo de cuenta tras x intentos es bien