Un estudio de caso en cómo los hackers utilizan ventanas vulnerabilidades contraseña
En este caso de estudio, el Dr. Philippe Oechslin, un consultor de seguridad de la información independiente, compartió sus hallazgos de investigaciones recientes sobre cómo los hackers pueden utilizar vulnerabilidades de contraseñas de Windows. Esta es una buena información a tener en cuenta para evitar ser hackeado al crear sus propias contraseñas.
Conteúdo
La situacion
En 2003, el Dr. Oechslin descubierto un nuevo método para el craqueo de contraseñas de Windows - que ahora se conoce comúnmente como arco iris de agrietamiento. Al probar una herramienta de fuerza bruta de violación de contraseñas, el Dr. Oechslin pensaba que todo el mundo utilizando la misma herramienta para generar la misma hashes (representaciones de cifrado de contraseñas) fue varias veces una pérdida de tiempo.
Él creía que la generación de un gran diccionario de todos los hashes posibles haría más fácil de roer las contraseñas de Windows, pero luego se dio cuenta rápidamente de que un diccionario de los hashes de LAN Manager (LM) de todas las posibles contraseñas alfanuméricas requeriría más de un terabyte de almacenamiento.
Durante su investigación, el Dr. Oechslin descubrió una técnica llamada tiempo-memoria compensaciones, donde hashes se calculan de antemano, pero sólo una pequeña fracción se almacenan (aproximadamente uno de cada mil). Dr. Oechslin descubrió que la forma en que se organizan los hashes LM permite encontrar cualquier contraseña si usted pasa algún tiempo volver a calcular algunos de los hashes. Esta técnica ahorra memoria pero toma mucho tiempo.
El estudio de este método, el Dr. Oechslin encontró una manera de hacer más eficiente el proceso, por lo que es posible encontrar alguno de los 80 mil millones de hashes únicas mediante el uso de una tabla de 250 millones de entradas (1 GB por valor de los datos) y la realización de sólo 4 millones de cálculos de hash . Este proceso es mucho más rápido que un ataque de fuerza bruta, que debe generar 50 por ciento de los hashes (40 millones de dólares) en promedio.
Esta investigación se basa en la ausencia de un elemento aleatorio cuando se hash contraseñas de Windows. Esto es cierto tanto para el hash LM y el hash NTLM incorporado en Windows. La misma contraseña produce el mismo hash en cualquier máquina de Windows. Aunque se sabe que hashes ventanas no tienen elemento aleatorio, nadie ha utilizado una técnica como la que se descubrió Dr. Oechslin para romper las contraseñas de Windows.
Dr. Oechslin y su equipo originalmente colocado una herramienta interactiva en su página web que permitía a los visitantes a presentar hashes y hacer que se agrietaron. Durante un período de seis días, la herramienta agrietado 1.845 contraseñas en un promedio de 7.7 segundos! Usted puede probar la demo para usted.
El resultado
Entonces, ¿cuál es la gran cosa, dice usted? Este método de violación de contraseñas puede romper prácticamente cualquier contraseña alfanumérica en unos pocos segundos, mientras que las herramientas de fuerza bruta actuales pueden tardar varias horas. Dr. Oechslin y su equipo de investigación han generado una tabla con la que pueden descifrar cualquier contraseña hecha de letras, números y otros caracteres de 16 a menos de un minuto, lo que demuestra que las contraseñas compuestas por letras y números no son lo suficientemente buenos.
Dr. Oechslin también declaró que este método es útil para los hackers éticos que tienen tiempo sólo se limita a realizar sus pruebas. Desafortunadamente, los hackers maliciosos tienen el mismo beneficio y pueden realizar sus ataques antes de que nadie los detecta!
Philippe Oechslin, PhD, CISSP, es profesora y asistente senior de investigación en el Instituto Federal Suizo de Tecnología en Lausanne y es fundador y CEO de Objectif S # 233-curit .
-
Sea consciente de las vulnerabilidades de contraseñas para evitar ser atacado -
Cómo descifrar contraseñas con pwdump3 y John the Ripper -
Cómo demostrar las vulnerabilidades de seguridad en las contraseñas del ordenador portátil -
Cómo minimizar las vulnerabilidades de bases de datos para evitar ser atacado - Cómo utilizar la seguridad del sistema operativo para evitar ser atacado
- Estrategias de ataque de red común: ataques de contraseña
Contraseñas Mysql Una contraseña se establece para todas las cuentas MySQL. Si no se proporciona ninguna contraseña de la cuenta, la contraseña está en blanco, lo que significa que no se requiere ninguna contraseña. MySQL no tiene ningún límite para la…
Cambio o eliminación de contraseñas en una red principal de Windows 7 Es una buena práctica de seguridad para cambiar periódicamente la contraseña en una red doméstica de Windows 7. Por otro lado la eliminación de la contraseña no es una buena práctica de seguridad, pero es posible que sea necesario de vez en…
Configuración de cuentas de usuario y contraseñas en una red principal de Windows 7 Creación de nuevas cuentas de usuario y contraseñas es una tarea básica de administración de red para una red doméstica de Windows 7. Con múltiples cuentas de usuario, varias personas pueden utilizar el mismo equipo sin afectar a la…
Cómo autenticar mac os x en servidor de león En Mac OS X Lion Server, servicios de directorio también proporcionan la autenticación que permite a los usuarios acceder a otros servicios. Las cadenas principales de autenticación comunes de muchos directorios prevalentes son ligeros Directory…
¿Cómo cambiar las contraseñas y la política de contraseñas en la aplicación de servidor de servidor de león Los usuarios del servidor de aplicaciones en el panel Lion Server proporciona dos tipos de administración de contraseñas. En primer lugar, puede cambiar manualmente la contraseña de una cuenta de usuario. Para ello, sólo tiene que seleccionar un…
Cómo utilizar llavero para gestionar contraseñas mac La mayoría de las personas tienen múltiples contraseñas en sus vidas de computación. Manzana le ayuda a administrar sus contraseñas, números de cuenta y otra información confidencial a través de llavero. Mac llavero es una característica…
Mantenga las ventanas 8 cuenta de usuario privado con contraseñas Una contraseña es más importante que nunca en Windows 8 porque algunas cuentas se pueden atar a una tarjeta de crédito. Al escribir una contraseña secreta al iniciar sesión, se habilita el ordenador reconozca tú y nadie más. Si protege su…
¿Cómo cambiar las ventanas representan contraseña Se recomienda cambiar las contraseñas al menos una vez cada tres meses. Esta es la mejor práctica para asegurar que tus cosas en el equipo es seguro. Para cambiar su contraseña de la cuenta de Windows, se adhieren a los siguientes pasos:Abra el…
Cómo crear y utilizar un disco para restablecer contraseña en ventanas Contraseñas de Windows no se pueden recuperar. Honestamente, olvídalo. Si pierde su contraseña, estás jodido. Escriba la contraseña si usted tiende a olvidarse de él. Windows 7 y Windows Vista ofrecen una herramienta donde se puede crear un…
Como crear una contraseña segura Abraza la contraseña! No trate de evitarlo. En su lugar, concentrarse en la creación y el uso de una gran cantidad de buenos, contraseñas fuertes. Estos son los tres requisitos de la contraseña debe cumplir para que sea agradable y fuerte:La…
Analizar cadenas en C ++ usando un hash Los valores hash son un requisito de seguridad importante para las aplicaciones de hoy en día. LA picadillo crea un equivalente numérico único de cualquier cadena le da de comer. En teoría, no se puede duplicar el número que el hash crea…
Debilidades de seguridad comunes que se dirigen a los hackers Profesionales de la seguridad de información deben saber las debilidades comunes de seguridad que los hackers y usuarios maliciosos primer cheque para cuando la intrusión en los sistemas informáticos. Fallas de seguridad, tales como los…