Foro de elhacker.net

Es normal que cuando nos registramos en cualquier servicio web veamos una advertencia en la que se nos indica que la contraseña debe ser al menos de ocho caracteres. Hasta el NIST, un organismo especializado en estos temas, ofrece dicho consejo. Pues bien: esa recomendación está quedándose obsoleta.

Es lo que ha demostrado HashCat, una herramienta Open Source de recuperación de contraseñas que es capaz de crackear cualquier contraseña de ocho caracteres para el ya veterano sistema NTLM de Windows en apenas dos horas y media.

LEER MAS: https://www.xataka.com/seguridad/no-basta-contrasenas-ocho-caracteres-hashcat-puede-crackearlas-2-5-horas?utm_source=genbeta&utm_medium=network&utm_campaign=repost

Pués no...

Esto solo es cierto porque/cuando los sitios web (incluídos S.O., juego y programas en general), están mal diseñados.

Cada vez que se introduce una contraseña, el sistema debería demorar 100ms. como mínimo en devolver el resultado... tanto si acertó como si falló. 100ms. para un usuario es algo nulo, es 1/3 de un pestañeo, un retraso inapreciable.
 
Es decir los algoritmos de verificación, de contraseñas, son precisamente los únicos (probablemente), que no debe ser diseñado óptimamente para la velocidad, incluso es preferible que añada una demora en la respuesta. Así da igual lo potente que sea un equipo, si la demora es forzosa de 100ms. sólo se podrán probar 10 contraseñas por segundos, 36.000 por hora... así que una contraseña de 8 caracteres aún requerírá una cantidad enorme de tiempo, sim importar si tienes 8 tarjetas gráficas o un millón. Es más trabajando sobre un mismo servidor, el propio servidor debería denegar una nueva petición para el mismo origen y/o destino como mínimo hasta no servir la atención previa.... si bien denegarlo para el destino, no está exento de problemática, porque entonces se convertiría en una técnica de bloqueo (cuando se tratase de un servidor remoto accesible desde múltiples partes).

Mejor 256 caracteres, parte de ellos élficos.

Están confundiendo las cosas por aquí.

HashCat  es una herramienta para Lammer.

¿Qué servicio, Email, Facebook ....puede utilizar fuerza bruta?
Con pocos intentos, necesita recuperar contraseñas, por correo electrónico o por teléfono, otros necesitan captcha de seguridad.


Fuerza bruta sólo fuera de línea, y no a nada especial de 8 caracteres en 2.5 horas. Necesitas una computadora buena sólo.

crackear cualquier contraseña de ocho caracteres
No crack, fuerza bruta

Saludos

No sé a qué clase de confusión te refieres... más bien tu mensaje parece que iría en otro hilo.

Veamos, si yo solo te dejo poner 10 contraseñas por segundo, o sabes o no sabes la contraseña para entrar... si no la sabes no entrarás en 100 años.

Luego si tu usas fuerza bruta, o usas cualquier otro método, el tiempo que te lleve es independiente. Si no usas fuerza bruta el tiempo que te lleve conseguir la cotraseña es irrelevante al sistema técnico de verificación de la contraseña y por ende, el problema no atañe la propia contraseña a lo sumo a la forma de proteger la contraseña.

Quiero decir, que si tomas la contraseña de un papel, de la cartera que alguien tiene en su bolsillo el tiempo es básicamente nulo, aunque la contraseña sea de 800 caracteres... entras.
Convierte eso a las contraseñas de 800 caracteres en inútiles?... el tiempo que tardeas en birlarle dicho papel de la cartera, cuenta?. Para mi ni lo uno ni lo otro forma parte de la consideración y por tanto no tiene validez alguna para mi premisa.

Entonces o no has entendido lo que yo decía más arriba o lo que escribiste tenía como destino otro hilo.

¡Hola NEBIRE
Mi post no se conecta a la suya.


Usted no entiende, voy a explicar de nuevo.
En el post, habla sobre fuerza bruta usando hashcat.
Y habló el ejemplo de Facebbok acepta 6 caracteres

Pero los servicios de red, como la red social, no aceptan la fuerza bruta.

Saludos