10 herramientas de Cracking de contraseñas más populares [actualizado 2020]
Las contraseñas son el método más utilizado para la autenticación de usuarios. Las contraseñas son tan populares porque la lógica detrás de ellas tiene sentido para las personas y son relativamente fáciles de implementar para los desarrolladores.
sin embargo, las contraseñas también pueden introducir vulnerabilidades de seguridad. Los rastreadores de contraseñas están diseñados para tomar datos de credenciales robados en una violación de datos u otro hackeo y extraer contraseñas de ellos.
¿qué es el descifrado de contraseñas?,
un sistema de autenticación basado en contraseñas bien diseñado no almacena la contraseña real de un usuario. Esto haría que sea demasiado fácil para un hacker o un interno malicioso obtener acceso a todas las cuentas de usuario en el sistema.
en su lugar, los sistemas de autenticación almacenan un hash de contraseña, que es el resultado de enviar la contraseña — y un valor aleatorio llamado salt — a través de una función hash. Las funciones Hash están diseñadas para ser Unidireccionales, lo que significa que es muy difícil determinar la entrada que produce una salida dada., Dado que las funciones hash también son deterministas (lo que significa que la misma entrada produce la misma salida), comparar dos hashes de contraseña (el almacenado y el hash de la contraseña proporcionada por un usuario) es casi tan bueno como comparar las contraseñas reales.
password cracking se refiere al proceso de extracción de contraseñas del hash de contraseña asociado. Esto se puede lograr de varias maneras diferentes:
- ataque de diccionario: la mayoría de las personas usan contraseñas débiles y comunes., Tomar una lista de palabras y agregar algunas permutaciones, como sustituir s por s, permite a un descifrador de contraseñas aprender muchas contraseñas muy rápidamente.
- ataque de adivinación de fuerza bruta: solo hay tantas contraseñas potenciales de una longitud determinada. Aunque lento, un ataque de fuerza bruta (probando todas las combinaciones posibles de contraseñas) garantiza que un atacante romperá la contraseña eventualmente.
- ataque Híbrido: un ataque híbrido mezcla estas dos técnicas., Comienza comprobando si una contraseña se puede descifrar usando un ataque de diccionario, luego pasa a un ataque de fuerza bruta si no tiene éxito.
La mayoría de las herramientas de descifrado de contraseñas o Buscador de contraseñas permiten a un hacker realizar cualquiera de estos tipos de ataques. Este post describe algunas de las herramientas más utilizadas para descifrar contraseñas.
Hashcat
Hashcat es uno de los crackers de contraseñas más populares y ampliamente utilizados que existen. Está disponible en todos los sistemas operativos y admite más de 300 tipos diferentes de hashes.,
Hashcat permite el cracking de contraseñas altamente paralelizado con la capacidad de crackear varias contraseñas diferentes en varios dispositivos diferentes al mismo tiempo y la capacidad de admitir un sistema de cracking de hash distribuido a través de superposiciones. El agrietamiento está optimizado con ajuste de rendimiento integrado y monitoreo de temperatura.
descarga Hashcat aquí.
John the Ripper
John the Ripper es una conocida herramienta de descifrado de contraseñas de código abierto para Linux, Unix y Mac OS X. Una versión de Windows también está disponible.,
John the Ripper ofrece descifrado de contraseñas para una variedad de diferentes tipos de contraseñas. Va más allá de las contraseñas del sistema operativo para incluir aplicaciones web comunes (como WordPress), archivos comprimidos, archivos de documentos (archivos de Microsoft Office, PDF, etc.) y más.
una versión pro de la herramienta también está disponible, que ofrece mejores características y paquetes nativos para los sistemas operativos de destino. También puede descargar OPENWALL GNU / * / Linux que viene con John the Ripper.
descarga John the Ripper aquí.
Brutus
Brutus es una de las herramientas de descifrado de contraseñas en línea remotas más populares., Afirma ser la herramienta de descifrado de contraseñas más rápida y flexible. Esta herramienta es gratuita y solo está disponible para sistemas Windows. Fue lanzado en octubre de 2000.,authentication types, including:
- HTTP (basic authentication)
- HTTP (HTML Form/CGI)
- POP3
- FTP
- SMB
- Telnet
- IMAP
- NNTP
- NetBus
- Custom protocols
It is also capable of supporting multi-stage authentication protocols and can attack up to sixty different targets in parallel., También ofrece la capacidad de pausar, reanudar e importar un ataque.
Brutus no se ha actualizado durante varios años. Sin embargo, su soporte para una amplia variedad de protocolos de autenticación y la capacidad de agregar módulos personalizados lo convierten en una herramienta popular para ataques de descifrado de contraseñas en línea.
obtenga el buscador de contraseñas de Brutus en línea aquí.
Wfuzz
Wfuzz es una herramienta de descifrado de contraseñas de aplicaciones web como Brutus que intenta descifrar contraseñas a través de un ataque de adivinación de fuerza bruta. También se puede utilizar para encontrar recursos ocultos como directorios, servlets y scripts., Wfuzz también puede identificar vulnerabilidades de inyección dentro de una aplicación como inyección SQL, inyección XSS e inyección LDAP.,8758f»>salida en HTML coloreado
THC Hydra
THC Hydra es una contraseña Herramienta de cracking que intenta determinar las credenciales del usuario a través de un ataque de adivinación de contraseñas de fuerza bruta., Está disponible para Windows, Linux, BSD gratuito, Solaris y OS X.
Descargar THC Hydra aquí.
Si eres desarrollador, también puedes contribuir al desarrollo de la herramienta.
Medusa
Medusa es una herramienta de línea de comandos, por lo que es necesario algún nivel de conocimiento de la línea de comandos para usarla. La velocidad de descifrado de contraseñas depende de la conectividad de red. En un sistema local, puede probar 2.000 contraseñas por minuto.
Medusa también soporta ataques paralelos., Además de una lista de contraseñas para probar, también es posible definir una lista de nombres de usuario o direcciones de correo electrónico para probar durante un ataque.
Lea más sobre esto aquí.
descarga Medusa aquí.
RainbowCrack
todo descifrado de contraseñas está sujeto a una compensación tiempo-memoria. Si un atacante ha precalculado una tabla de pares contraseña / hash y los ha almacenado como una» tabla rainbow», entonces el proceso de descifrado de contraseñas se simplifica a una búsqueda de tabla., Esta amenaza es la razón por la que las contraseñas ahora se salan: agregar un valor único y aleatorio a cada contraseña antes de hash significa que el número de tablas rainbow necesarias es mucho mayor.
RainbowCrack es una herramienta de descifrado de contraseñas diseñada para trabajar con tablas rainbow. Es posible generar tablas rainbow personalizadas o aprovechar las ya existentes descargadas de internet. RainbowCrack ofrece descargas gratuitas de tablas rainbow para los sistemas de contraseñas LANMAN, NTLM, MD5 y SHA1.
descargue las tablas rainbow aquí.,
algunas mesas rainbow de pago también están disponibles, que puedes comprar desde aquí.
esta herramienta está disponible tanto para sistemas Windows como Linux.
descarga RainbowCrack aquí.
OphCrack
OphCrack es una herramienta gratuita de descifrado de contraseñas basada en tablas rainbow Para Windows. Es la herramienta de descifrado de contraseñas de Windows más popular, pero también se puede usar en sistemas Linux y Mac. Rompe hashes LM y NTLM. Para descifrar Windows XP, Vista y Windows 7, las tablas libres del arco iris también están disponibles.
un CD en vivo de OphCrack también está disponible para simplificar el cracking., Uno puede usar el Live CD de OphCrack para descifrar contraseñas basadas en Windows. Esta herramienta está disponible de forma gratuita.
descarga OphCrack aquí.
descarga gratis y premium rainbow tables para OphCrack aquí.
L0phtCrack
L0phtCrack es una alternativa a OphCrack. Intenta descifrar contraseñas de Windows a partir de hashes. Para descifrar contraseñas, utiliza estaciones de trabajo Windows, Servidores de red, controladores de dominio principales y Active Directory. También utiliza diccionario y ataques de fuerza bruta para generar y adivinar contraseñas. Fue adquirida por Symantec y descontinuada en 2006., Más tarde, los desarrolladores de L0pht volvieron a adquirirlo y lanzaron L0phtCrack en 2009.
L0phtCrack también viene con la capacidad de escanear escaneos de seguridad de contraseñas de rutina. Uno puede establecer auditorías diarias, semanales o mensuales, y comenzará a Escanear a la hora programada.
aprenda sobre L0phtCrack aquí.
Aircrack-ng
Aircrack-ng es una herramienta de descifrado de contraseñas Wi-Fi que puede descifrar contraseñas WEP o WPA / WPA2 PSK. Analiza paquetes encriptados inalámbricos y luego intenta descifrar contraseñas a través de los ataques de diccionario y los Algoritmos de cracking PTW, FMS y otros., Está disponible para sistemas Linux y Windows. Un CD en vivo de Aircrack también está disponible.
los tutoriales de Aircrack-ng están disponibles aquí.
descarga Aircrack-ng aquí.
cómo crear una contraseña difícil de descifrar
en esta publicación, hemos enumerado 10 herramientas para descifrar contraseñas. Estas herramientas intentan descifrar contraseñas con diferentes algoritmos de descifrado de contraseñas. La mayoría de las herramientas de descifrado de contraseñas están disponibles de forma gratuita. Por lo tanto, siempre debe tratar de tener una contraseña segura que sea difícil de descifrar. Estos son algunos consejos que puede probar al crear una contraseña.,
- cuanto más larga sea la contraseña, más difícil será descifrarla: la longitud de la contraseña es el factor más importante. La complejidad de un ataque de adivinación de contraseñas por fuerza bruta crece exponencialmente con la longitud de la contraseña. Una contraseña aleatoria de siete caracteres se puede descifrar en minutos, mientras que una de diez caracteres toma cientos de años.,
- siempre use una combinación de caracteres, Números y caracteres especiales: el uso de una variedad de caracteres también hace que la adivinación de contraseñas por fuerza bruta sea más difícil, ya que significa que los crackers deben probar una variedad más amplia de opciones para cada carácter de la contraseña. Incorpore números y caracteres especiales y no solo al final de la contraseña o como una sustitución de letras (como @ por a).,
- variedad en Contraseñas: los ataques de relleno de credenciales usan bots para probar si las contraseñas robadas de una cuenta en línea también se usan para otras cuentas. Una violación de datos en una pequeña empresa podría comprometer una cuenta bancaria si se utilizan las mismas credenciales. Utilice una contraseña larga, aleatoria y única para todas las cuentas en línea.
lo que debe evitar al seleccionar su contraseña
los ciberdelincuentes y los desarrolladores de Password cracker conocen todos los trucos «inteligentes» que la gente usa para crear sus contraseñas., Algunos errores comunes de contraseña que deben evitarse incluyen:
- usando una palabra de diccionario: los ataques de diccionario están diseñados para probar cada palabra en el diccionario (y permutaciones comunes) en segundos.
- uso de información personal: el nombre de una mascota, el nombre de un familiar, el lugar de nacimiento, el deporte favorito, etc., son todas palabras del diccionario. Incluso si no lo fueran, existen herramientas para obtener esta información de las redes sociales y crear una lista de palabras a partir de ella para un ataque.,
- usando patrones: contraseñas como 1111111, 12345678, qwerty y asdfgh son algunas de las más utilizadas en existencia. También están incluidos en la lista de palabras de cada cracker de contraseñas.
- usando sustituciones de caracteres: las sustituciones de caracteres como 4 para A y S para S son bien conocidas. Los ataques de diccionario prueban estas sustituciones automáticamente.
- usando números y caracteres especiales solo al final: la mayoría de las personas ponen sus números y caracteres especiales requeridos al final de la contraseña., Estos patrones están integrados en los rastreadores de contraseñas.
- usando contraseñas comunes: cada año, compañías como Splashdata publican listas de las contraseñas más utilizadas. Crean estas listas descifrando contraseñas violadas, al igual que lo haría un atacante. Nunca use las contraseñas en estas listas ni nada parecido.
- usando cualquier cosa menos una contraseña aleatoria: Las contraseñas deben ser largas, aleatorias y únicas. Utilice un administrador de contraseñas para generar y almacenar contraseñas de forma segura para cuentas en línea.,
conclusión
Las herramientas de descifrado de contraseñas están diseñadas para tomar los hashes de contraseñas filtrados durante una violación de datos o robados mediante un ataque y extraer las contraseñas originales de ellos. Logran esto aprovechando el uso de contraseñas débiles o probando cada contraseña potencial de una longitud determinada.
los buscadores de contraseñas se pueden usar para una variedad de propósitos diferentes, no todos son malos., Si bien los ciberdelincuentes los utilizan comúnmente, los equipos de seguridad también pueden usarlos para auditar la solidez de las contraseñas de sus usuarios y evaluar el riesgo de contraseñas débiles para la organización.