Página principal » cómo » ¿Son las contraseñas cortas realmente tan inseguras?

    ¿Son las contraseñas cortas realmente tan inseguras?


    Ya conoce el ejercicio: use una contraseña larga y variada, no use la misma contraseña dos veces, use una contraseña diferente para cada sitio. Está usando una contraseña corta realmente tan peligrosa?
    La sesión de Preguntas y Respuestas de hoy nos llega por cortesía de SuperUser, una subdivisión de Stack Exchange, un grupo de sitios web de preguntas y respuestas impulsado por la comunidad..

    La pregunta

    SuperUser reader user31073 tiene curiosidad por si realmente debería prestar atención a esas advertencias de contraseña corta:

    Al usar sistemas como TrueCrypt, cuando tengo que definir una nueva contraseña, a menudo me informan que usar una contraseña corta es inseguro y "muy fácil" de romper por la fuerza bruta.

    Siempre utilizo contraseñas de 8 caracteres de longitud, que no se basan en palabras del diccionario, que consta de caracteres del conjunto A-Z, a-z, 0-9

    Es decir. Yo uso la contraseña como sDvE98f1

    ¿Qué tan fácil es descifrar dicha contraseña por fuerza bruta? Es decir. Qué rápido.

    Sé que depende en gran medida del hardware, pero tal vez alguien pueda darme una estimación del tiempo que tomaría hacer esto en un doble núcleo con 2GHZ o lo que sea para tener un marco de referencia para el hardware..

    Para atacar por fuerza bruta, se necesita una contraseña de este tipo, no solo para recorrer todas las combinaciones, sino también para tratar de descifrar con cada contraseña adivinada, que también requiere algo de tiempo..

    Además, ¿hay algún software para hackear TrueCrypt por fuerza bruta porque quiero intentar romper mi propia contraseña con fuerza bruta para ver cuánto tiempo toma si es realmente "muy fácil"?.

    ¿Están las contraseñas cortas de caracteres aleatorios realmente en riesgo??

    La respuesta

    El colaborador de Superusuario Josh K. destaca lo que necesitaría el atacante:

    Si el atacante puede obtener acceso al hash de la contraseña, a menudo es muy fácil forzar la fuerza bruta, ya que simplemente implica contraseñas de hash hasta que los hashes coincidan..

    La "fuerza" del hash depende de cómo se almacena la contraseña. Un hash MD5 puede tardar menos tiempo en generar un hash SHA-512.

    Windows solía (y puede que aún no sepa) almacenar las contraseñas en un formato de hash de LM, que subía la contraseña y la dividía en dos trozos de 7 caracteres que luego se hacían. Si tuviera una contraseña de 15 caracteres, no importaría, ya que solo almacenaba los primeros 14 caracteres, y era fácil usar la fuerza bruta porque no era brutal forzando una contraseña de 14 caracteres, era brutal forzando dos contraseñas de 7 caracteres.

    Si siente la necesidad, descargue un programa como John The Ripper o Cain & Abel (enlaces retenidos) y pruébelo.

    Recuerdo haber sido capaz de generar 200,000 hash por segundo para un hash LM. Dependiendo de cómo Truecrypt almacene el hash, y si se puede recuperar de un volumen bloqueado, podría llevar más o menos tiempo..

    Los ataques de fuerza bruta se usan a menudo cuando el atacante tiene una gran cantidad de hashes para pasar. Después de ejecutar un diccionario común, a menudo comenzarán a eliminar las contraseñas con ataques comunes de fuerza bruta. Contraseñas numeradas hasta diez, alfa y numérico extendido, alfanuméricos y símbolos comunes, alfanuméricos y extendidos. Dependiendo del objetivo del ataque, puede liderar con diferentes tasas de éxito. Intentar comprometer la seguridad de una cuenta en particular a menudo no es el objetivo.

    Otro colaborador, Phoshi amplía la idea:

    La fuerza bruta no es un ataque viable., casi siempre Si el atacante no sabe nada acerca de su contraseña, no lo está obteniendo a través de la fuerza bruta en este lado de 2020. Esto puede cambiar en el futuro, a medida que avanza el hardware (por ejemplo, uno podría usar todo, sin embargo, muchos-tiene-tiene) ahora se centra en un i7, lo que acelera enormemente el proceso (aunque sigue hablando años))

    Si desea estar más seguro, pegue un símbolo de ascii extendido allí (mantenga presionada la tecla Alt, use el teclado numérico para escribir un número mayor que 255). Hacer eso asegura bastante que una simple fuerza bruta es inútil.

    Debería preocuparse por las posibles fallas en el algoritmo de cifrado de truecrypt, lo que podría hacer que encontrar una contraseña sea mucho más fácil y, por supuesto, la contraseña más compleja del mundo es inútil si la máquina en la que la está utilizando está comprometida..

    Anotamos la respuesta de Phoshi para que diga "La fuerza bruta no es un ataque viable, cuando se usa el cifrado sofisticado de la generación actual, casi siempre".

    Como destacamos en nuestro artículo reciente, Brute-Force Attacks Explicó: Cómo todo el cifrado es vulnerable, la antigüedad de los esquemas de cifrado y la potencia del hardware aumentan, por lo que es solo una cuestión de tiempo antes de lo que solía ser un objetivo difícil (como el algoritmo de cifrado de contraseña NTLM de Microsoft) es derrotable en cuestión de horas.

    ¿Tienes algo que agregar a la explicación? Apague el sonido en los comentarios. ¿Quieres leer más respuestas de otros usuarios de Stack Exchange con experiencia en tecnología? Echa un vistazo a la discusión completa aquí.

    ¿Hay algún beneficio al conectar su mouse a un puerto USB 3.0?
    ¿Hay riesgos en el uso de cables Y con dispositivos periféricos USB?
    ¿Valen la pena las recompensas de juego Razer's zSilver?
    Siguiente articulo
    ¿Son seguros los bloqueos inteligentes?
    Artículo anterior
    ¿Los sitios web listos están matando el diseño web?