Foro de elhacker.net

Llevamos toda la vida usando contraseñas, pero los ciberdelincuentes siempre van un paso por delante de nosotros. Aunque utilicemos contraseñas robustas los ordenadores cada vez tienen más potencia de proceso, más núcleos y más procesamiento en paralelo, y les resulta más sencillo romper una contraseña por fuerza bruta, probando todas las combinaciones. ¿Cómo elegir la mejor contraseña? Business Insider le ha preguntado a Etay Maor, un asesor ejecutivo de seguridad en IBM.

Etay Maor no es un experto en seguridad cualquiera. Se dedica a sumergirse en la Dark Web para estudiar las tácticas cibercriminales y así enseñar a los clientes de IBM Security cómo funcionan los hackers, para que puedan protegerse mejor.

Este experto asegura que las contraseñas de 8 o 10 caracteres, aunque sean completamente aleatorias, pueden ser rotas con facilidad por los algoritmos y los potentes ordenadores que se usan hoy en día. Aconseja olvidarse de las contraseñas y adoptar las contrafrases.

En realidad, el concepto es muy sencillo. Se trata, simplemente, de elegir como contraseña una frase larga. Algo que no sea muy reconocible, y si tiene conceptos aleatorios, mejor. No elijas: "Buenos días, parece que hoy va a llover", pero si puedes usar: "me apetece sentarme en el sillón rojo y comerme una sopa de frambuesa con 3 refrescos rosa".

Para un algoritmo hacker, que no entiende el sentido de la frase, será una cadena larga de letras y números que le costará años descrifrar, incluso con mucha potencia de proceso. Y para los usuarios es más fácil de recordar que una secuencia aleatoria de letras y números.

Este truco es válido hasta que los hackers comiencen a usar inteligencia artificial, y entonces sí podrán encontrar el sentido a las contrafrases...

Etay Maor aconseja instalar por, encima de todo, un gestor de contraseñas que genere claves robustas y aleatorias, como LastPass o 1Password, y elegir una contraseña distinta en cada servicio de Internet que utilicemos.

Son consejos fáciles de seguir, que merece la pena aplicar si nos preocupa nuestra seguridad

https://computerhoy.com/noticias/tecnologia/como-crear-contrasenas-hacker-profesional-476675?utm_content=buffer18daa&utm_medium=Social&utm_source=Facebook&utm_campaign=CH&fbclid=IwAR1MOCUSAC1PHoI6O26vU_4tlp3yDmHqjHYB5L9TWfbxkMsbtcZpmjoXUaI

Eso es una gilipollez. Aplicando un algoritmo que pruebe palabras en vez de letras sería como reducir esta frase:


A esta contraseña


A parte de lo jodidamente incomodo que sería escribirla pues imaginaos una persona iniciando sesión en cualquier sistema que no tiene un teclado en si (pensad en XBOX, Play4 etc).. absurdo. Y no hablemos de los servicios que todavía limitan la longitud de la contraseña a 8 o 16 caracteres... absurdo!


Saludos

La simplificación no es correcta...

Tomemos la 'f' de 'frambuesa'... no existe una única palabra que empice con f (frambuesa), si no ...infinidad...

Puede ser: fresa, frase, fresco, f456vb, folio, foliculo, Francia, franchute, fruta, fracaso, filantropo, 'falifante', 'Fumanchu', filologo, fructifero, fragancia, 'forsiemprejamas' ...

..y lo mismo para cada palabra.
Luego la explosión de combinaciones resulta exponencial. En el cálculo de las combinaciones cada letras, debería ser remplazado por el número de posibles palabras distintas que se puedna formar (que son infiinitas, pero limitadas en la práctica si damos un largo máximo de palabra). No son solo las combinaciones de las letras sueltas. Para que fuera como asumes, cada letra debiera tener una transcripción única (y conocida) desde plabara (como el estúpido: Alfa, Tango, Charly, Bravo... --> A,T,C,B...)

Así para 3 letras (pongamos limitado el alfabeto posible a A-Z, sería 26*26*26, pero si para la A hubiera (pongamos de ejemplo), 20.000 palabras, para la B: 18.000 y para la C: 32.000, el resutado sería (26*20000) * (26*18000)*(26*32000), que claramente es un numero muy superio a 26 al cubo...

---

Tampoco concuerdo en el resto... ya que es simplemente un problema del método de entrada de datos... algo en principio ajeno a si el método es o no adecuado. Si el método de entrada de datos fuera por voz... sería más fácil y rápido pronunciar aquella frase que escribir una palabra de 10 caracteres (como esa última 'caracteres').

Tienes razón, añade complejidad pero también se pueden aplicar reglas para reducirla siguiendo reglas de gramática como por ejemplo que es muy probable que después de un "en" venga un "el" o "la", por tanto ya no hay un factor "tan" aleatorio pues estaríamos frente a palabras definidas por tanto ya no tienes porque hacer fuerza bruta pura y dura si no que puedes aplicar reglas de predicción que podrían reducir enormemente las posibles combinaciones.

Yo creo que si que importa la entrada de datos para que un método sea efectivo. Si gran parte de los servicios te restringen a utilizar una contraseña de longitud limitada, tu "frase" se verá reducida proporcionalmente. Por ejemplo, según puedo leer, Outlook tiene una limitación de 16 caracteres, ¿que son eso¿  ¿3-4 palabras? De nada sirve un método como este, si no se utiliza de forma adecuada. Tampoco conozco muchas interfaces que te permitan poner la contraseña por voz, casi que rompe la idea de una contraseña el hecho de que la digas en voz alta.. pero ahí tendrías otros problemas que pueden incluso hacerte perder el tiempo aun más como la interpretación de un numero (tres o 3?), acentos, comas etc.. Y ya ni hablemos de aquellos servicios que te piden si o si un símbolo, un numero, una letra minúscula, una mayúscula.. etc.

Saludos

A mi me parece una forma malísima de generar contraseñas. Como dice Drvy a base de diccionarios acabaría saliendo. Hay equipos y redes que prueban millones de combinaciones distintas cada segundo.
Mira la hora y a partir de ella generas una serie:
20:45

8045


Le metes la hora en letras le das la vuelta intercalando y listo:
OchoCuarentaCinco

ocniCatnerauCohcO

o8c0n4i5C8a0t4n5e8r0a4u5C8o0h4c5

Si la quieres de 8 caracteres pues pillas los 8 primeros xD
o8c0n4i5

Yo prefiero que el buen Google me sugiera un contraseña y listo... luego la anoto en un papel porque son muy difíciles de recordar y siempre me las pone del máximo de caracteres permitidos... letras mayúsculas y minúsculas, números y símbolos todo licuado... grrrrrrrrr...

 :rolleyes: :o :rolleyes:

Saludos.

Típica persona que no sabe de hacking y dice... voy a ver como hackean otros y a hacer consultorías a otras empresas para decirles como protegerse. Por lo que veo es una persona con cero experiencia en el mundo del hacking y probablemente jamás a probado con sus propias manos lo que realmente significa sacar contraseñas con algoritmos complejos o por simple fuerza bruta.

Mejor hubiera sido haber publicado un estudio llevando a la práctica el rompimiento de algunas credenciales con sus tiempos v/s esfuerzo, utilización de recursos, dar estadísticas de riesgos sobre el almacenamiento de claves locales, etc y ahi si llegar a una conclusión, pero no, solo le bastó con meterse a la deep web a ver como los hackers hackean y ya, ahora puede vender sus servicios como consultor.

Además, no se hace extraño que ni si quiera se haya publicado el estudio que hizo para llegar a esas conclusiones? y probablemente jamás se vean ya que se han aprovechado que la "dark web" es justamente donde no puedes llegar facilmente ni encontrar mucha información.

También es extraño que el sitio web de la fuente real no tiene caja para dejar comentarios, están totalmente censurados.

(https://i.ytimg.com/vi/2Dg477YzJoM/maxresdefault.jpg)

Claramente es mucho mas facil crear un algoritmo para romper una frase camuflada a una contraseña aleatoria de 9 caracteres o llaves rsa.

Yo opino que una protección segura es utilizar por ejemplo llaves RSA, validar huellas digitales sha256, etc. Tener guardada tus contraseñas en un servicio de almacenameinto de contraseñas no te dara mayor seguridad, solo comodidad. Me huele a una noticia de publicidad masiva de empresas como logmein (empresa de lastpass).

Todo esto me imagino porque gira en cuestión a los hashes. Para hacer un ataque de diccionario tan complejo como ese una persona tendría que saber que la contraseña está basado en una oración (y en un determinado lenguaje). Lo común son las rainbow tables de X charset con longitud Y y con salt Z. Me imagino que habrá rainbow tables que se generen con NLP pero yo creo que estos deben ser ordenes de magnitud más lentos que los diccionarios que se escupen normalmente (de GPUs, FPGAs, etc). Tampoco creo que sean muy comunes.

Es una pregunta compleja la verdad. A simple vista muchas combinaciones se pierden por palabras. Porque no hay una palabra por cada combinación de letras. Tiene sus ventajas y desventajas.

Lo mejor sería que las personas que están almacenando las contraseñas se deshagan de hashes que pueden ser vulnerables (hoy en día debería ser regla usar KDFs para almacenar las contraseñas), solicitar a sus usuarios nuevas contraseñas en caso de que tengan que remplazar los hashes y ofrecer autenticación de dos factores. Como usuario, nunca usar la misma contraseña para otros sitios. Si te comprometen la contraseña, no la pueden usar en ningún otro lado y si el proveedor del servicio fue lo suficientemente listo para proteger tu cuenta usando otros factores no pierdes nada más que esa contraseña.

Las contraseñas de texto creo que eventualmente van a morir y vamos a tener que buscarnos otros métodos de aunteticación.

jejeje yo hasheo mi password y me memorizo el hash asi esta doblemente hasheado  :silbar:

hasheas pero sacas binario a base64 en lugar de hexadecimal

no! no es suficiente!  :xD we need to go deeper!

(https://i.imgur.com/v9Exdh0.png)

import hashlib, base64
print(base64.b64encode(hashlib.md5(b'5058f1af').digest()))
 

EptdtGAQ6NPeYId+d52NSQ==

y asi tienes mayus, minus y simbolos! (tal vez)

En la proximo cambio de contraseña lo haré  :silbar: . Abro hilo donde todos pongamos nuestras contraseñas anteriores, es para una tarea...  >:D

hahahaha

No se puede, el foro censura automáticamente las contraseñas de los usuarios. La mia es ********.


Saludos

La mía: PszVt:zQSz9H8-n por cortesía  de Google Chrome... bueno... esta es solo un ejemplo que nunca usé...

 :rolleyes: :o :rolleyes:

Salud.

Jajajajaja la mia es: "seguroqueesesta" ups no me la censuró :xD

A mi me gusta usar palabras que veo todos los días en mi casa y le aplico algún cifrado que puedo hacer de forma sencilla.

Por ejemplo estoy viendo el smartphone SAMSUNG.
54M5UN6

Y le aplico cesar y corriendo.
65N6VO7

O veo una botella de coca-cola que pone sabor original

A partir de esta frase aplico cualquier cifrado que se me ocurra al momento para ese sitio en específico. Así de una palabra o frase puedo sacar varios cifrados para varias webs distintas:
Frase original -> sabor original

Layout de teclado Android -> @!;94 948/8,!(

Orden alfabético con ñ inverso a=z b=y -> hzymi mirtrnzo

Suma orden alfabético -> s+a=t b+o=q  r+o=H r+i=A g+i=o n+a+l=z ->tqHAoz

Cesar-1 -> rZañq ñqhfhmZk

Intercalado -> osraibgoirnal

Letra de al lado derecho layout Android -> dsnpt ptohomsñ

Opuesto simétrico android layout-> lñcwu wuehexñs

Duplicado sílabas -> sasaborbor ooririgiginalnal

Cada sílaba al revés -> asronoiriglan

Vocales primero consonantes después -> aooiiasbrrgnl

No, RSA no por favor: https://twitter.com/sweis/status/1175099502312620032 (https://twitter.com/sweis/status/1175099502312620032). A menos que uses claves de 3072 bits o mayores.

Mejor AES.

Saludos!

PD: Para contraseñas uso el generador de Keepass. 30 chars casi siempre.

Sabías que muchos sistemas webs importantes en chile no te permiten poner mas de 8 carscteres de largo como contraseña? xD y en muchos otros sitios no puedes poner caracteres especiales, solo letras y números diske para prevenir las inyecciones sql xD

Si. No solo en Chile, en Argentina también. Por ejemplo, el home banking de ICBC de aquí sólo te permite 8 chars. Es terrorífico, en verdad...

Saludos!

te sabes un metodo para desbloquear rsa 256 bits? es para desbloquear funciones de una bios capada

a demás que eso fuera de ridículo dice otra cosa... están guardando las contraseñas en plano, si hubiera un hash de por medio, la posibilidad de inyección es 0

incluso en un sistema donde tenia que guardar las contraseñas en claro (por cosas de la vida) los guardaba en base64 para evitar inyecciones sin revisar mucho XD

Hola!

Lamentablemente no conozco ningún método. El link del twit que puse te muestra un paper que demuestra como factorizaron RSA de 256 bits en los 80's.

Imagino que debe existir software que lo haga "magicamente" (revisa los twits siguientes pues tienen mas info).

Saludos!

En realidad debería ser denunciable que los sistemas de seguridad exijan contraseñas tan limitadas.
 
8 caracteres para una contraseña hoy día es algo inaceptable... pasa igual con otroas sistemas... en los años 80, por ejemplo, que las tarjetas de crédito usaran solo 4 dígitos (que ni siquiera caracteres) le daban una seguridad que hoy día nos resulta ridícula. A buen seguro que alguien experto en seguridad consideró que era demasiado corto, pero alguien con poder de decisión impidió que lo fuera mayor alegando que "...si se hace más complicado, la gente no querrá usarlo..."

...y en realidad muchos de los sistemas aún hoy día, se guían por la premisa del 'jefe inexperto'... No entiende (las consecuencias) pero es el que manda...

Personalmente no me gusta que exijan que incluyas algún carácter de tal o cual tipo especifico.

es cierto
 

en realidad no, pocos sistemas te permiten fuerza bruta, asi que...


originalmente 4 era inseguro de todas formas, fue un numero arbitrario escogido porque se consideraba "comodo"

No coincido, para mi 4 dígitos eran seguros entonces, por varias razones:
- No había disponibiidad de herramientas hardware para hackear.
- El software tampoco estaba tan disponible.
- Todos los terminales (los cajeros), estaban en la calle (por aquel entonces yo no recuerdo haber visto nunca un cajero dentro del banco), luego estaba expuesto públicamente a la gente que pasa por la calle. Un intento manual de fuerza bruta, supondría muchas horas delante del cajero, y después de todo acaba en bloqueo después de ciertos fallos.
- Tampoco había 'hackers' por aquella época. Lógicamente de forma reconocida. A.K. Dewndey escribió varios artículos a lo largo de la década, el primero en 1984, que aunque eran juegos, contribuyó inadvertidamente (de hecho tuvo que dedicar bastante tiempo a desmentir las acusaciones sin fundamento que los profanos le dirigían) al concepto y desarrollo de virus, pués el juego trataba de replicarse así mismo en la memoria RAM del equipo oponente y otras acciones encaminadas a ganar al oponente impidiéndole defenderse, etc... los artículos llevaban el título: "Juegos de ordenador: En el juego de la Guerra nuclear". Es el punto que se considera el nacimiento real de los virus, pués hasta entonces las ideas eran solo eso: ideas, teorías, a partir de esas fechas, hubo varias implementaciones reales...

...en fin, yo considero que 4 dígitos para las tarjetas de crédito en los 80, eran seguros. Pero como es algo subjetivo, que cada cual considere lo que crea, yo me baso en lo que viví y sentí...

Pues aquí en Venezuela acabo de cofigurarle su cuenta de "banco en linea" a un sobrino y la contraseña de ingreso  permite solo 8 caracteres... esto me parece bastante particular porque yo tengo cuenta en otros 3 bancos y para todos ellos se pueden crear contraseñas de hasta 16 caracteres... y el mentado banco es el de las fuerzas armadas bolivarianas BANFANB... bueno, de todas maneras las transferencias son bastante seguras porque todas necesitan el ingreso de un código enviado a un teléfono afiliado a la cuenta...

NOTA APARTE: A los venezolanos poco nos importa que nos hackeen una cuenta bancaria, porque tan pronto nos ingresa dinero a esta, en un instante lo gastamos por aquello de la hiperinflación... solo guardamos dolares... grrrrrrrrrrr...

 :rolleyes: :o :rolleyes:

Saludos.