Tiempos en romper un password por Fuerza Bruta en el 2022

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Hace dos años, HiveSystems publicó por primera vez una tabla de contraseñas con los tiempos que le insumiría a un atacante romperlas. Ahora se actualizaron los datos para el 2022.

La tabla de 2020 mostraba la fortaleza relativa de una contraseña contra un intento de descifrado de fuerza bruta, según la longitud y la complejidad de la contraseña.

Los datos se basaron en cuánto tiempo y presupuesto le tomaría a un atacante descifrar el hash de una contraseña usando una computadora de escritorio con una tarjeta gráfica de primer nivel.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Dos años más tarde, un período de tiempo bastante largo en términos de mejora de la potencia de procesamiento, las cosas han cambiado bastante.

En el contexto de las contraseñas, un "hash" es una versión codificada de una cadena de texto. En otras palabras, si se calcula el hash de la palabra "password" usando el método de hashing MD5, el hash de salida es 5f4dcc3b5aa765d61d8327deb882cf99.

Sabiendo esto, el atacante puede crackear un hash por fuerza bruta, lo cual significa hacer una lista de "todas" (en teoría) las combinaciones de caracteres y luego codificarlas con el método de hashing que desee y corresponda al sistema atacado. Al encontrar coincidencias entre su lista y los hashes de las contraseñas robadas, el cracker pueden descubrir la contraseña.

Las tarjetas gráficas son una placa especial que tiene una Unidad de Procesamiento Gráfico (GPU) con una alta capacidad de cálculo matemático. Resulta que también son excelentes para extraer criptomonedas y calcular hashes. Por ejemplo, una aplicación popular para cracking de hashes es Hashcat y permite utilizar la capacidad de cálculo de las GPU para calcular hashes.

La tabla de contraseñas de 2020 utilizó datos de 2018 basados en contraseñas hasheadas con MD5 y descifradas con una GPU RTX 2080. La GPU superior del 2022 es la RTX 3090, la cual resulta que tiene casi el triple de poder de cálculo de hashes por segundo.

¿Cuánto se tarda para romper una contraseña?

Suponiendo que se utilice la recomendación original de contraseñas de 8 caracteres del NIST, los crackers pueden romperla en menos de 5 horas (suponiendo que se use todo el set de caracteres). Y, si se usa el poder de cómputo de la nube, ese tiempo baja a 39 minutos utilizando 8 GPUs e invirtiendo U$S 32,77 por hora.

Obviamente, cuantas más instancias se utilicen en paralelo, menos tiempo tomará.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Las GPU pueden generar hashes MD5 muy rápidamente, mientras que otras funciones de hash hacen que el proceso sea lento por diseño. Aunque todavía hay una cantidad sorprendente de sitios que usan MD5 y SHA1, hay un gran contingente que codifica sus contraseñas con bcrypt y otros.

La tabla de contraseñas se centra en la idea de que el atacante está trabajando en una situación de "caja negra" y tiene que empezar desde cero para crackear el hash.

Mediante el uso de tablas de arcoíris, ataques de diccionario y hashes robados anteriormente, el resultado del cracking es "inmediato".

El "Salt" complica el proceso de cracking y afortunadamente lo métodos modernos como:

bcrypt,
scrypt,
Argon2 y
PBKDF2

tienen el salting incorporado y terminan siendo más fuerte que cualquier otra implementación de hash.

Fuente:
HiveSystems
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Estos benchmarks se suelen hacer mucho y salen noticias rimbombantes, pero en realidad queda algo netamente en asustaviejas, al menos eso creo. En ciertos sitios se les pone super dura con el número de hashes que hace el hashcat.  Al final las rainbow tables si te meten un salt te hacen polvo ¿no? Y en general casi ningún sistema operativo ya utiliza ese tipo de hashea una vez y sin salt, y menos en md5.
Tambien si estas en un sistema web, para llegar a la contraseña has tenido que violar la seguridad del propio servidor, con lo que la contraseña, en caso de estar cifrada con md5, es casi lo de menos. Porque tendrían acceso físico al propio equipo y a los datos que has puesto en dicho sistema. En todo caso si repites passwords en diferentes sitios, pero entendería que es una praxis en general bastantante mala y que no debería estar muy extendida.
Al final, entiendo que si la password no es una composicion de palabras de la web de tu trabajo con informacion personal que un CEWL podría componer, y no está en los diccionarios de passwords se está a salvo. De hecho en general me cuesta ver ataques que hayan sido fructiferos utilizando fuerza bruta, entendiendo fuerza bruta como pruebo todas las posibles combinaciones.
No se, ¿Como lo veis? de verdad alguien utiliza fuerza bruta en un entorno real y le funciona? Osea siempre se deja en segundo plano por si, suena la flauta, pero ... :\

En mi caso en Wireless: más de 8 caracteres "numéricos" ni me molesto. Puede que con 10, si tengo motivación.

Y es que para dedicarse al brute force hay que tener músculo en poder de cómputo. Al menos yo delego en amigos que sí tienen tarjetas gráficas de última y varias y se dedican a minar. Esto es para la fortuna de combinaciones de caracteres de letras mayúsculas y minúsculas, etc. que en la mayoría de los casos es una pérdida de tiempo.

Ni me animo en ocasiones a pedir el favor y molestar.

Estoy de acuerdo con su criterio, pues así me lo ha dictado la experiencia.