Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Cluster de 25 GPU descifra contraseñas de 8 caracteres en 5.5 horas

  • 0 Respuestas
  • 1647 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado LucaSthefano

  • *
  • Underc0der
  • Mensajes: 399
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« en: Diciembre 13, 2012, 10:47:21 pm »
Recientemente, en una conferencia en Oslo, se demostró que es posible romper contraseñas de 8 caracteres en un período de 5 horas y media.

En una conferencia realizada en Noruega, se presentó un cluster de 25 AMD Radeon con GPU donde mediante la herramienta Hashcat pudo observarse una capacidad de cómputo de 348.000 millones de intentos por segundo sobre contraseñas con hashing NTLM y 63.000 millones de pruebas sobre claves con hashing mediante SHA-1. NTLM es un protocolo de Microsoft que provee autenticación, integridad y seguridad a los usuarios. Asimismo, SHA-1 es una función criptográfica de hashing utilizada en gran medida por aplicaciones y diferentes protocolos.


¿Cómo se realiza el descifrado de la contraseña?

Existen dos mecanismos conocidos que son utilizados para quebrar una contraseña. El primero de ellos es mediante ataques de fuerza bruta y el otro es mediante ataques de diccionario. El ataque de fuerza bruta consiste en probar posibles contraseñas realizando el proceso de hashing sobre cada intento y comparando contra el hashing de referencia (corresponde a la clave que se vulnera). En el caso de ataques de diccionario, se cuenta con tablas previamente computadas con claves comunes o frecuentemente utilizadas. Este tipo de ataque suele ser más rápido ya que no es necesario computar el hashing en cada uno de los intentos y apela a que en muchos casos los usuarios utilizan contraseñas simples.

Debido a que la tecnología de hoy en día es capaz de elevar las tasas de pruebas a valores muy altos, los especialistas en criptografía han diseñado algoritmos de hashing conocidos como “lentos”. De esta forma el tiempo del proceso de hashing es mayor y dificulta los ataques a los ciberdelincuentes en los ataques de fuerza bruta. No obstante, el cómputo extra necesario para los algoritmos de hashing “lentos” es casi imperceptible para los usuarios que hagan uso de los mismos. Sin embargo, mediante el sistema antes descripto, se demostró que tienen un gran impacto sobre las técnicas de de fuerza bruta disminuyendo en gran medida el rendimiento. Específicamente, el sistema posee un rendimiento de 77 millones de intentos por segundo sobre md5crypt, 364.000 sobre sha512crypt y apenas 71.000 intentos por segundo sobre bcrypt.

¿Qué se debe hacer?

Es importante comenzar a considerar que es necesario utilizar mecanismos de hashing más complejos. Aquellos servicios que se encuentran en Internet y puedan ser susceptibles a ataques de fuerza bruta deben considerar la utilización de algoritmos de hashing más complejos para disminuir la posibilidad de un ataque exitoso. Sin embargo, en la actualidad, los usuarios deben considerar, en lo posible, la utilización de contraseñas de 10 caracteres o más debido a la capacidad de procesamiento existente. Asimismo, en la medida de lo posible, se deben utilizar diferentes contraseñas para cada servicio que se utilice.

Saludos!

Fuente: Laboratorios ESET
Agradecimientos: Fernando Catoira

 

¿Te gustó el post? COMPARTILO!



Solucionada la vulnerabilidad de Skype que permite robar contraseñas

Iniciado por LucaSthefano

Respuestas: 0
Vistas: 1573
Último mensaje Noviembre 18, 2012, 04:20:34 pm
por LucaSthefano
Como hacer contraseñas difíciles de olvidar...

Iniciado por Andrey

Respuestas: 0
Vistas: 1891
Último mensaje Enero 04, 2019, 04:16:59 am
por Andrey
¿El fin de las contraseñas? La autenticación simple cada vez más amenazada

Iniciado por LucaSthefano

Respuestas: 1
Vistas: 1898
Último mensaje Marzo 24, 2013, 03:14:36 pm
por Destructor.cs