¿Qué necesito?

  • Cualquier servidor dedicado o virtual
  • Kali Linux

¿Qué es el descifrado de contraseñas?

Es extremadamente importante que las contraseñas sean difíciles de recordar o adivinar. ¿Por qué? Para evitar que las personas o los malos actores accedan a sus cosas ultrasecretas, sea lo que sea.

Incluso las contraseñas difíciles de recordar pueden comprometer la seguridad de un sistema, ya que la mayoría de los usuarios pueden necesitar utilizar un método inseguro para escribir la contraseña o almacenarla electrónicamente. O más a menudo, algunos usuarios usan la misma contraseña para todo.

El descifrado de contraseñas es el proceso de recuperar contraseñas de datos almacenados en forma cifrada por un sistema informático o transmitidos electrónicamente. Un enfoque común es adivinar la contraseña repetidamente y compararla con un hash criptográfico disponible de la contraseña, también conocido como «ataque de fuerza bruta». El descifrado de contraseñas no solo puede llevar tiempo, sino que es computacionalmente intensivo hacerlo a gran escala. El tiempo que lleva descifrar una contraseña depende directamente de su fuerza de bits. La fuerza de bits es la medida de la entropía de una contraseña, así como los detalles de cómo se almacena realmente la contraseña. La mayoría de los métodos de descifrado de contraseñas requieren una computadora potente para crear muchas contraseñas candidatas o tablas de arco iris con las que se compara cada contraseña.

  1. Hidra

    1. Hydra es una aplicación de craqueo de inicio de sesión y es compatible con muchos protocolos o vectores de ataque. Por ejemplo cisco auth, cisco enable, cvs, ftp, http y https form get, http y https form post, proxy, imap e irc, etc., etc.
    2. Para abrirlo, vaya a Aplicaciones> Ataques de contraseña> Ataques en línea> Hydra.
      Cómo descifrar contraseñas en Linux
    1. Se abre la ventana de terminal ‘hydra’:
      Cómo descifrar contraseñas en Linux
    1. En este ejemplo atacamos el servicio FTP de una máquina virtualizada que se hizo explotable con ‘Metasploit’ con la dirección IP ‘192.168.1.101’ con fuerza bruta:
      Cómo descifrar contraseñas en Linux
    1. Kali Linux es el gran sistema operativo que es, y viene con una serie de cosas útiles para que experimentes. Tiene una lista de palabras con la extensión ‘lista’ en la ruta:
      usr/share/wordlist/metasploit

      Cómo descifrar contraseñas en Linux

    1. Utilice el siguiente comando con el interruptor ‘-V’ para encontrar el nombre de usuario y la contraseña:
      hydra -l /usr/share/wordlists/metasploit/user -P 
      /usr/share/wordlists/metasploit/ passwords 
      ftp://192.168.1.101 -V

      Cómo descifrar contraseñas en Linux

    1. El nombre de usuario y la contraseña son ‘msfadmin: msfadmin’.
      Cómo descifrar contraseñas en Linux
  1. Johnny

    1. Johnny es una interfaz gráfica de usuario para una de las herramientas de descifrado de contraseñas más populares, John the Ripper. Generalmente se usa para descifrar contraseñas débiles o más débiles.
    2. Para abrirlo, vaya a Aplicaciones> Ataques de contraseña> Johnny.
      Cómo descifrar contraseñas en Linux
    1. En este ejemplo, extraeremos y descifraremos la contraseña de la máquina virtual local usando el siguiente comando. Esto creará un archivo crackeable en el escritorio del sistema operativo:
      cat /etc/passwd > Desktop/crack && cat /etc/shadow >> Desktop/crack

      Cómo descifrar contraseñas en Linux

    1. En la interfaz de usuario de Johnny, haga clic en Abrir archivo Passwd.
    2. Haga clic en ‘Aceptar’ y se mostrarán todos los archivos disponibles y los usuarios que se van a descifrar.
      Cómo descifrar contraseñas en Linux
    1. Haga clic en Iniciar ataque.
      Cómo descifrar contraseñas en Linux
    1. Espere un momento de nuevo, ya que este bit puede tardar algún tiempo dependiendo de la velocidad de su computadora.
    2. Una vez finalizado el ataque, haga clic en el botón del panel izquierdo con la etiqueta «Contraseñas» y todas las contraseñas descifradas se mostrarán en el cuadro de diálogo principal.
      Cómo descifrar contraseñas en Linux

Conclusión

Estas son solo algunas de las increíbles herramientas disponibles para los usuarios de Linux para descifrar contraseñas y buscar listas de palabras. Por ejemplo, si está más interesado en las interfaces de línea de comando (CLI), puede usar ‘John’, la versión de línea de comando de ‘Johnny GUI’. También puede explorar un software sorprendente llamado Rainbowcrack que se centra en el uso de archivos de diccionario grandes como vectores para ataques de fuerza bruta a gran escala y altamente efectivos en las contraseñas de destino.