HashCat, una herramienta de recuperación de contraseña de código abierto, ahora puede descifrar un hash de contraseña NTLM de Windows de ocho caracteres en menos de 2.5 horas.
"Los puntos de referencia de craqueo de contraseñas actuales muestran que la contraseña mínima de ocho caracteres, sin importar cuán compleja sea, se puede descifrar en menos de 2,5 horas" utilizando una plataforma de hardware que utiliza ocho GPU Nvidia GTX 2080Ti, explicó un pirata informático que usa el seudónimo Tinker en Twitter. en una conversación de DM con The Register. "La contraseña de ocho caracteres está muerta". Del informe: Está muerto al menos en el contexto de ataques de piratería en organizaciones que dependen de Windows y Active Directory.
NTLM es un antiguo protocolo de autenticación de Microsoft que desde entonces ha sido reemplazado por Kerberos. Según Tinker, todavía se utiliza para almacenar contraseñas de Windows localmente o en el archivo NTDS.dit en los controladores de dominio de Active Directory.
Tinker estima que comprar la potencia de GPU descrita requeriría alrededor de $ 10,000; otros han reclamado el poder informático necesario para descifrar un hash de contraseña NTLM de ocho caracteres que se puede alquilar en la nube de Amazon por solo $ 25.
Las últimas pautas de NIST dicen que las contraseñas deben tener al menos ocho caracteres. Algunos proveedores de servicios en línea ni siquiera exigen mucho. Cuando el investigador de seguridad Troy Hunt examinó las longitudes mínimas de las contraseñas en varios sitios web el año pasado, descubrió que mientras Google, Microsoft y Yahoo establecen el estándar en ocho, Facebook, LinkedIn y Twitter solo requerían seis.
Tinker dijo que la contraseña de ocho caracteres se usó como punto de referencia porque es lo que muchas organizaciones recomiendan como la longitud mínima de la contraseña y muchas políticas corporativas de TI reflejan esa guía. Entonces, ¿cuánto tiempo es suficiente para dormir profundamente hasta que el siguiente avance técnico lo cambie todo?
Tinker recomienda una frase de contraseña de cinco palabras al azar, algo similar al ejemplo de cuatro palabras popularizado por el cómic en línea XKCD. Esa o cualquier contraseña de longitud máxima aleatoria a través de una aplicación de administración de contraseñas, con la autenticación de dos factores habilitada en ambos casos.
Por cierto, eso es exactamente lo que el Kevin Mitnick de KnowBe4 ha estado diciendo durante los últimos años. Entrene a sus empleados para crear una frase de contraseña corta que demore años en descifrarla.
Fuente: https://blog.knowbe4.com/
Compartir...
Siguenos en twitter: @disoftin
0 Comentarios