Ya conoce el ejercicio: use una contraseña larga y variada, no use la misma contraseña dos veces, use una contraseña diferente para cada sitio. ¿Es realmente tan peligroso usar una contraseña corta?
La sesión de preguntas y respuestas de hoy nos llega por cortesía de SuperUser, una subdivisión de Stack Exchange, una agrupación de sitios web de preguntas y respuestas impulsada por la comunidad.
La pregunta
El lector de superusuario user31073 siente curiosidad por saber si realmente debería prestar atención a esas advertencias de contraseña corta:
Al usar sistemas como TrueCrypt, cuando tengo que definir una nueva contraseña, a menudo me informan que usar una contraseña corta es inseguro y “muy fácil” de romper por la fuerza bruta.
Siempre uso contraseñas de 8 caracteres de longitud, que no se basan en palabras del diccionario, que consta de caracteres del conjunto A-Z, a-z, 0-9
Es decir. Uso una contraseña como sDvE98f1
¿Qué tan fácil es descifrar tal contraseña por fuerza bruta? Es decir. Qué rápido.
Sé que depende en gran medida del hardware, pero tal vez alguien podría darme una estimación de cuánto tiempo llevaría hacer esto en un doble núcleo con 2GHZ o lo que sea para tener un marco de referencia para el hardware.
Para atacar por fuerza bruta una contraseña de este tipo, no solo es necesario recorrer todas las combinaciones, sino también intentar descifrar cada contraseña adivinada, lo que también necesita algo de tiempo.
Además, ¿hay algún software para piratear TrueCrypt por fuerza bruta porque quiero intentar descifrar por fuerza bruta mi propia contraseña para ver cuánto tiempo lleva si es realmente así de "muy fácil"?
¿Están realmente en riesgo las contraseñas cortas de caracteres aleatorios?
La respuesta
El colaborador de superusuario Josh K. destaca lo que necesitaría el atacante:
Si el atacante puede obtener acceso al hash de la contraseña, a menudo es muy fácil usar la fuerza bruta, ya que simplemente implica el hash de las contraseñas hasta que los hash coincidan.
La "fuerza" del hash depende de cómo se almacena la contraseña. Un hash MD5 puede tardar menos en generarse que un hash SHA-512.
Windows solía almacenar contraseñas (y es posible que aún no lo sé) en un formato hash LM, que ponía la contraseña en mayúsculas y la dividía en dos fragmentos de 7 caracteres que luego eran hash. Si tuvieras una contraseña de 15 caracteres, no importaría porque solo almacenaba los primeros 14 caracteres, y era fácil usar la fuerza bruta porque no estabas forzando una contraseña de 14 caracteres, estabas forzando dos contraseñas de 7 caracteres.
Si siente la necesidad, descargue un programa como John The Ripper o Cain & Abel (enlaces retenidos) y pruébelo.
Recuerdo poder generar 200.000 hashes por segundo para un hash LM. Dependiendo de cómo Truecrypt almacene el hash y si se puede recuperar de un volumen bloqueado, podría llevar más o menos tiempo.
Los ataques de fuerza bruta se utilizan a menudo cuando el atacante tiene una gran cantidad de hashes que atravesar. Después de ejecutar un diccionario común, a menudo comenzarán a eliminar las contraseñas con ataques comunes de fuerza bruta. Contraseñas numeradas hasta diez, caracteres alfanuméricos y numéricos extendidos, símbolos alfanuméricos y comunes, símbolos alfanuméricos y extendidos. Dependiendo del objetivo del ataque, puede liderar con diferentes tasas de éxito. Intentar comprometer la seguridad de una cuenta en particular a menudo no es el objetivo.
Otro colaborador, Phoshi amplía la idea:
La fuerza bruta no es un ataque viable , casi siempre. Si el atacante no sabe nada sobre su contraseña, no la está obteniendo mediante la fuerza bruta en este lado de 2020. Esto puede cambiar en el futuro, a medida que avanza el hardware (por ejemplo, uno podría usar todos los ahora núcleos en un i7, acelerando enormemente el proceso (aunque todavía habla años))
Si desea estar -super- seguro, coloque un símbolo ascii extendido allí (mantenga presionada la tecla alt, use el teclado numérico para escribir un número mayor que 255). Hacer eso prácticamente asegura que una simple fuerza bruta es inútil.
Debería estar preocupado por las posibles fallas en el algoritmo de cifrado de truecrypt, lo que podría hacer que encontrar una contraseña sea mucho más fácil y, por supuesto, la contraseña más compleja del mundo es inútil si la máquina en la que la está utilizando está comprometida.
Anotamos la respuesta de Phoshi para que diga: "La fuerza bruta no es un ataque viable, cuando se utiliza un cifrado sofisticado de la generación actual, prácticamente nunca".
Como destacamos en nuestro artículo reciente, Explicación de los ataques de fuerza bruta: cómo todo el cifrado es vulnerable , los esquemas de encriptación envejecen y la potencia del hardware aumentan, por lo que es solo cuestión de tiempo antes de que lo que solía ser un objetivo difícil (como el algoritmo de encriptación de contraseña NTLM de Microsoft) se pueda derrotar en cuestión de horas.
¿Tiene algo que agregar a la explicación? Habla en los comentarios. ¿Quieres leer más respuestas de otros usuarios de Stack Exchange expertos en tecnología? Consulte el hilo de discusión completo aquí .
