Herramientas de Hacking de Contraseñas

Desde el inicio de la tecnología, las contraseñas se crearon para proteger nuestras cuentas, pero, más importante aún, para proteger nuestra vida personal. Las herramientas de hacking de contraseñas se están volviendo bastante populares en estos días, así que…

Desde el inicio de la tecnología, las contraseñas se crearon para proteger nuestras cuentas, pero, más importante aún, para proteger nuestra vida personal. Las herramientas de hacking de contraseñas se están volviendo bastante populares en estos días, por lo que hablaremos sobre algunas de estas herramientas y de cómo una persona debe protegerse de todos los intentos maliciosos de acceder a su vida privada.

Para la mayoría de las personas, las herramientas de crackeo de contraseñas se utilizan ya sea para probar la solidez de las contraseñas o para un ataque malicioso. Lo más importante a tener en cuenta es la eficiencia, velocidad y facilidad de uso de las herramientas que se utilizan (Hashcat, John the Ripper, THC Hydra).

Hashcat es la herramienta de recuperación de contraseñas para GPU y CPU más rápida, y es multiplataforma. Creada en 2009 por el MIT, Hashcat es conocida por soportar una amplia variedad de algoritmos de hash como “LM Hash, NT Hash, MD4, MD5 y muchos más”. Al momento de su creación, esta herramienta soportaba cuatro tipos de ataques:

1- Ataques de diccionario: contiene más de 14 millones de contraseñas que comienzan desde las más comunes hasta las menos comunes. Intenta adivinar una contraseña, la convierte a hash y luego compara el hash resultante con el que intenta descifrar.

2- Ataques combinados: es similar al ataque de diccionario, pero con la diferencia de que toma dos listas de palabras como "diccionarios" y crea una nueva lista de palabras combinando cada palabra con otra. “Una combinación de dos palabras”.

3- Ataques de máscara: tomemos un ejemplo, si sabes que la longitud de la contraseña de tu cuenta es de 9 caracteres y termina con un dígito, entonces, obviamente, sabes que tomará 52+10⁹ combinaciones para intentar adivinar la contraseña, lo cual tomaría aproximadamente 4 años. Pero si sabes que la contraseña comienza con una mayúscula y termina con un número, el tiempo se reducirá a alrededor de 40 minutos.

4- Ataques basados en reglas: conociendo cómo tu objetivo crea sus contraseñas, Hashcat puede especificar qué tipo de contraseñas probar.

5- Ataque de fuerza bruta: probará todas las combinaciones posibles hasta encontrar la correcta, lo cual generalmente tomará mucho tiempo porque intentará todas las combinaciones posibles.

John the Ripper es una herramienta de seguridad de contraseñas, auditoría y recuperación de contraseñas offline y de código abierto creada bajo la Licencia Pública General de GNU en 1996, que soporta cientos de tipos de hashes y cifrados. Está disponible en diferentes plataformas, lo que permite utilizar el mismo programa en cualquier lugar. Como mencionamos, esta herramienta soporta muchos tipos de hashes como “Traditional DES-Based, MD5-Based BSDI extended y muchos más”. Estos tipos de hashes pueden variar dependiendo de la plataforma en la que se ejecute. Al momento de su creación, esta herramienta soportaba 4 modos de crackeo:

1- Modo de lista de palabras: este modo especifica una lista de palabras (archivo de texto) que preferiblemente esté ordenada, y las contraseñas se comparan con la que necesitas descifrar.

2- Crackeo único: este es el primer modo con el que comienza el crackeo. De hecho, las contraseñas exitosas se prueban contra todas las contraseñas cargadas para ver si los usuarios tienen la misma contraseña y así reducir el tiempo.

3- Modo incremental: es el modo de crackeo más poderoso, ya que probará todas las combinaciones posibles, pero no se detendrá debido a la gran cantidad de combinaciones. Antes de usar este modo, debes asegurarte de tener una longitud específica de la contraseña y un charset a utilizar.

4- Modo externo: son funciones programadas en C y compiladas por John al inicio que contendrán un programa de algún tipo que utilizará para generar algunas contraseñas.

a) El tipo de hash utilizado por las contraseñas puede ser autodetectado, lo que reduce el tiempo.

b) Los diferentes tipos de contraseñas cifradas basadas en diversos hashes pueden ser descifradas por John, lo que lo hace consistente.

c) Agrupa numerosos módulos que pueden detectar muchas contraseñas.

d) Capacidad de detectar contraseñas que dependen del Protocolo Ligero de Acceso a Directorios (LDAP) y MySQL.

THC Hydra, creada en 2001 por Van Hauser, es una herramienta de crackeo online utilizada para mostrar lo fácil que sería obtener acceso no autorizado a un sistema remoto. Esta herramienta puede soportar muchos protocolos como “FTP, HTTP, HTTPS, MySQL, Postgres...” y es compatible con varias plataformas como UNIX, MacOS, Windows y sistemas móviles. Esta herramienta puede realizar múltiples ataques como un ataque de diccionario paralelo, un ataque de fuerza bruta o híbrido, ataques paralelos en diferentes servidores y más. THC Hydra es conocida por ser rápida y eficiente, aunque depende del protocolo.

En comparación con John the Ripper, la única diferencia es que esta herramienta es un cracker de contraseñas online, mientras que John the Ripper es offline.

La forma perfecta de atacar con Hydra es seguir estos 3 pasos:

1. Seleccionar el objetivo.

2. Seleccionar el protocolo.

3. Verificar si el módulo tiene parámetros de opción.

Las herramientas de crackeo de contraseñas son las herramientas más peligrosas cuando están en manos de personas que desean hacer daño a la sociedad. Como se mencionó anteriormente en este artículo, utilizamos el ejemplo de tres herramientas de hacking de contraseñas para demostrar cómo tus cuentas pueden ser fácilmente accesibles utilizando múltiples métodos. Por lo tanto, todos deben estar conscientes de los peligros de todas las actividades en línea y las personas deben actualizar constantemente sus contraseñas para mantenerse seguros.

Herramientas de Hacking de Contraseñas