Los hackers podrán burlar tu contraseña 'segura' en segundos con una app y no podrás hacer nada
Cuando creas una cuenta en una red social, app o sitio web, una de las primeras cosas que te pide el sistema es que ingreses una contraseña con la cual tus datos y tu sesión, en teoría, estarán seguros de personas extrañas.
Por lo regular, el mismo formulario te pide que la contraseña alterne entre letras, números y signos, pero lo más importante, que tenga más de 8 caracteres.
Esta cantidad incluso era recomendada por el gobierno de los Estados Unidos como una manera efectiva de seguridad. Al parecer, a causa de un nuevo programa de computadora, esa medida ya quedó obsoleta.
De acuerdo con el medio especializado The Registrer, HashCat es una herramienta de código abierto con la capacidad de descifrar una contraseña de Windows NTLM de ocho caracteres en menos tiempo del necesario para ver una película larga: 2 horas y media.
Ese periodo de tiempo es considerablemente corto si se tiene en cuenta que, en el 2011, el investigador de ciberseguridad Steven Meyer, demostró que una buena contraseña con ese nivel de seguridad podría ser forzada en 44 días, o en 14 segundos con el equipo adecuado y un proceso meticuloso.
De acuerdo con el medio británico, las personas detrás del proyecto de software explicaron que:
quote:«La contraseña de ocho caracteres está muerta», añadieron.
Eso es cierto, al menos en cuestión de los ataques de piratería informática en algunas organizaciones que dependen de Windows y Active Directory.
NTLM es un antiguo protocolo de autenticación de Microsoft que ya ha sido reemplazado por otro, conocido como Kerberos.
De acuerdo con los desarrolladores de HashCat, todavía se usa el NTLM para almacenar contraseñas de Windows localmente o en el archivo NTDS.dit en los controladores de dominio de Active Directory.
Con el arsenal de cómputo necesario, los hackers pueden romper una contraseña de 8 caracteres de manera sencilla, pero en el caso de contraseñas más robustas, el tiempo en que tardarían en conseguir su objetivo sería considerablemente mayor.
Los desarrolladores de HashCat estiman que el equipo necesario para romper las contraseñas de 8 caracteres costaría alrededor de 10 mil dólares.
De acuerdo con otras fuentes consultadas por The Registrer, se puede alquilar una nube con la misma capacidad por apenas 25 dólares.
El investigador de seguridad Troy Hunt examinó las longitudes mínimas de las contraseñas de varios sitios web en el 2019, y descubrió que Google, Microsoft y Yahoo establecieron un mínimo estándar de 8 caracteres. Pero, ese no es el caso de plataformas como Facebook, Linkedln y Twitter, que se conforman con solo 6.
Si bien muchos sistemas ya no usan la plataforma NTLM, los expertos recomiendan que para mayor seguridad se utilicen gestores de contraseñas seguros como 1.
Échale un ojo a esto: