top of page

17 de octubre de 2014

Mejora la seguridad de tus passwords de Windows

Manos a la obra

 

 

Los hashes de Windows se encuentran en el archivo SAM (Security Account Manager). La SAM es una base de datos que guarda los passwords de los usuarios del sistema.

 

Los hashes utilizados en Windows son el LanMan (LM), el Windows NT LanManager (NTLM v1 o NTLM v2).


La SAM se encuentra en el directorio:


C:\\WINDOWS\system32\config

 

Existen varios programas que nos ayudan a obtener los hashes de los passwords de windows de manera simple. Hoy veremos como realizar este proceso utilizando CAIN and ABEL.

 

CAIN AND ABEL, o simplemente conocido como CAIN, ss una de las más útiles herramientas de recuperación de passwords de Windows, que nos permite obtener los hashes de los passwords, y crackearlos a través de ataques de diccionario, ataques de fuerza bruta, o ataques con tablas precomputadas. Los pasos a seguir están a continuación:


1) Descargamos Cain desde

 

http://www.oxid.it/cain.html

 

2) Seleccionamos la pestaña CRACKER, damos click en el botón +, y damos click en la primera opción, con lo cual extraemos los passwords de Windows guardados en nuestro sistema operativo, en el archivo SAM:

 

 

 

 

 

Posts anteriores
El autor

Luis Enríquez

Luis Enríquez es un abogado experto en Derecho en Internet. Además, es un músico reconocido de música académica y rock. Fue guitarrista de Sal y Mileto.

Ilustración.

Encriptas tus chats

Una guía rápida para tener chats realmente privados.

Las noticias del día

En este post vas a aprender a auditar tus passwords de Windows, con el objeto de mejorar tu privacidad

Hash: Los passwords son encriptados a través de algoritmos que generan un hash (versión encriptada del
password)”.

 

 

 

Ten en cuenta

3) Seleccionamos el password que deseamos crackear. En este caso seleccionamos el password correspondiente al Usuario Bryan Adams:

 

 

5) Lanzamos el procedimiento.

Y listo.

 

El password es bryan, y el proceso se ha demorado 1 segundo.

 

Cuando el password ha sido descifrado, aparecerá el símbolo de llaves en la interface de CAIN:

 

Al ser tan fácil de crackear los passwords débiles, es necesario tomar estas medidas para que no puedan crackear los tuyos:


1) APRENDER A HACER PASSWORDS. Una solución básica para todo usuario es usar passphrases (frase conocidas), mezcladas con mayúsculas y otros caracteres. Así no serás víctima de ataque de diccionario, y realentarás el tiempo necesario para un ataques de fuerza bruta, pudiendo llegar a demorar el proceso de crackeo algunos meses, o años.


Por ejemplo, una frase:

 

Mi novia :) está muy lejos porque vive en España por $


Si tomamos las primeras letras y los símbolos el password sería:

 

Mn:)emlpveEp$

 

2) NO UTILIZAR EL MISMO PASSWORD PARA TODAS TUS CUENTAS.

 

3) NO ANOTAR LOS PASSWORDS EN EL ESCRITORIO DE TU COMPUTADOR, NI DECÍRSELOS A TU PAREJA.


4) CAMBIARLOS DE MANERA PERIÓDICA.


5) UTILIZAR UN MECANISMO DE DOBLE AUTENTICACIÓN, CUANDO SEA POSIBLE.


En Internet la seguridad dependerá de las políticas de seguridad implantadas en la aplicación Web que visitas.

 

En próximas ediciones revisaremos como auditar passwords de páginas web, de servidores de correo electrónico, de archivos protegidos con password, etc...

 

Salta la censura en Internet con TOR

Navegar con anonimato en la red...

Videochat de bienvenida

Los passwords siguen siendo el método de autenticación más utilizado en el mundo digital. Los passwords son encriptados a través de algoritmos que generan un Hash.

 

 

4) Con click derecho, esogemos la opción para crackear hashes NTLM, utilizamos un ataque de fuerza bruta. Para ello das click derecho en la cuenta que vas a crackear:

Se utilizan passwords para ingresar a tus dispositivos (computadora, teléfono), a tu cuentas de correo (Gmail, Yahoo), a las redes sociales (Facebook, Twitter), para los foros, para los servicios públicos (SRI, IESS), servicios de cloud (Dropbox, Mega) e incluso para proteger archivos (Word, PDF).


Muchas veces un password es el único método de autenticación disponible, por tanto no queda más que aprender a crear passwords, y para ello, hay que saber auditarlos. Los tres métodos más conocidos para crackear passwords son:


- Ataques de diccionario. Consiste en aplicar una lista de palabras de dicionario para decifrarlo (como 'luisa' o 'abeja'). Es muy rápido y efectivo. Sorprendentemente más del 50% de personas sigue utilizando palabras(nombres de sus hijos o mascotas) como passwords.


- Ataques de fuerza bruta. Consiste en utilizar todas las combinaciones posibles de caracteres. Es un método lento, pero seguro.


- Ataque de tablas precomputadas (RAINBOW Attacks). Consiste en calcular previamente todos los hashes posibles, y guardarlos en una tabla. Es un método mucho más rápido que los Ataques de fuerza bruta, pero que requiere de bastante espacio para almacenar las tablas precomputadas.

 

 

Ocultar archivos en lugares inesperados

Archivos secretos dentro de fotos, audios, etc...

Saludos digitales,

Luis Enríquez
(LLM, MD, CEH, CHFI)
https://www.owasp.org/index.php/OWASP_Security_Labeling_System_Project
http://fosslawyers.org
twitter:  @foss_lawyers
 

Join us on:

 

  • Facebook Classic
  • Twitter Classic
  • YouTube Classic

Libertad Digital, 2014'2015

bottom of page