En lo que no parece ser precisamente una hazaña de piratería informática, hackers de Anonymous vulneraron cuentas de correo electrónico de la presidencia siria. La clave era 12345.

• http://www.diarioti.com/noticia/La_contrasena_del_presidente_sirio_era_1...

Esta entrada presenta un pequeño programa, llamado crackpkcs12, que será útil para quien quiera recuperar la contraseña de un archivo PKCS12 (extensiones p12 o pfx) recurriendo a un ataque de diccionario. Además, pretende ser un ejemplo práctico de cómo sacar partido a nuestras máquinas multinúcleo programando aplicaciones que usen hilos...

  » Leer más »

¿Cuanto tiempo le cuesta a un atacante loguearse en una determinada web si la contraseña del usuario es "sol" y el sistema es capaz de atender cien intentos por segundo?

Pues dependiendo del sistema empleado para el ataque, el tiempo requerido puede oscilar entre 3 y 80 minutos. Lo mismo viene a resistir cualquier contraseña basada en una palabra de seis caracteres, sea o no una palabra común.

El uso de seis caracteres aleatorios puede tardar un mes en ser reventado, pero si añadimos números podemos irnos a los ocho meses, y si empleamos además signos de puntuación, mayúsculas y minúsculas nos vamos a... ¡más de 200 años!

Sin embargo no todo el mundo puede recordar contraseñas de ese tipo (sobre todo si son varias distintas, como sería de esperar). Por tanto es muy probable que la contraseña acabe siendo anotada, lo que abre nuevas vías de ataque...  » Leer más »

Por permalac

¿Un password para cada pagina web o un solo password para todas ellas?

Supongo que todos vivimos este problema. Si usas un solo password y alguien lo descubre ha conseguido el password para todas ellas.

Os presento una bonita solución: PwdHash.

Un solo password = muchos passwords distintos.

¿Cómo se hace? Pues con un hash, cruzando tu password único con la página en cuestión.

N. del E.: Aunque PwdHash no es en sí mismo novedoso, existen hoy en día implementaciones para usar desde dispositivos móviles, Android, iPhone, etc.

En la misma línea de lo que publicamos aquí hace sólo unos días, la firma rusa Elcomsoft insiste en demostrar el poder de las GPU de las tarjetas gráficas Nvidia para revelar contraseñas, en esta ocasión a partir de sus "hash" MD5.

A tal fin han publicado Lightning Hash Cracker, una utilidad de descarga gratuita que afirma ser la herramienta más potente disponible para recuperar contraseñas a partir de listados de sus "hash" MD5, una de las formas más habituales de protección de las mismas a la hora de su almacenamiento.

La misma empresa asegura también obtener resultados formidables frente a las contraseñas WPA y WPA2 para redes inalámbricas, consideradas hasta ahora sumamente seguras.

Hace menos de un año, Fernando Acero comentaba en Kriptópolis cómo no tardaríamos en asistir al uso de las GPU de las tarjetas gráficas para acelerar ciertos cálculos colaborando con la CPU.

Hoy mismo, Elcomsoft anuncia una nueva versión de su programa para recuperación de contraseñas de forma distribuida con una peculiaridad interesante: la contribución a la CPU de las GPU de múltiples tarjetas gráficas Nvidia (como la GeForce GTX 280) trabajando en paralelo.

El resultado parece impresionante, ya que el sistema es capaz de explorar hasta 1.000 millones de contraseñas por segundo. Sin llegar a tanto, y sólo para hacernos una idea, mientras un Core2Duo es capaz de probar 200 contraseñas por segundo, la adición al sistema de una simple GeForce GTX260 logra elevar la cifra hasta las 5.000 contraseñas por segundo...  » Leer más »

¿Anotar o no anotar las contraseñas? He ahí el dilema.

Basta pensar en la típica contraseña escrita en un post-it pegado sobre el marco del monitor para aborrecer la idea, pero sin embargo escribir las contraseñas en algún sitio también tiene su punto, porque a ver quién es el listo que se aprende de memoria -digamos- 50 contraseñas diferentes y de calidad. Además la otra alternativa (es decir, usar la misma contraseña para todo) es aún peor.

Sí, lo sé. Tenemos Password Safe, KeePass y similares. De hecho anotar las contraseñas en una libreta también tiene muchos inconvenientes y riesgos. Por ejemplo, has de cargar con ella en tus desplazamientos, con lo que el riesgo de perderla (o que te la "distraigan") no es en absoluto despreciable (la solución podría ser hacer un "backup" de libretas ;) Otra pega considerable es que la libreta no ayuda a generar contraseñas aleatorias (algo que sí hace, por ejemplo, nuestro entrañable KriptPass).

En definitiva: antes de desechar la idea por descabellada, ¿merece la pena siquiera discutirla...?  » Leer más »

Elcomsoft es una empresa rusa conocida por sus herramientas de craqueo de contraseñas. Su producto estrella, EPRB (Elcomsoft Password Recovery Bundle), está dirigido a "corporaciones y gobiernos", y asegura funcionar sobre más de cien formatos de ficheros y diferentes sistemas de cifrado de contraseñas.

Hoy, Elcomsoft presenta la última versión de AOPR (Advanced Office Password Recovery), otra de sus herramientas, dirigida esta vez a recuperar contraseñas "perdidas u olvidadas" de documentos creados con Microsoft Office, incluyendo la última versión 2007, que se supone viene con seguridad mejorada (AES, etc).

Lo ¿sorprendente? aquí es que Elcomsoft es Partner Gold Certified de Microsoft, con lo que uno proporciona "la solución" y el otro "el antídoto". ¿A que mola?

Esta vez se trata de nombres de usuario, direcciones e-mail, contraseñas y/o "hashes" (fácilmente revertibles en el caso de contraseñas poco sólidas), pero ejemplifica perfectamente lo que comentábamos hace poco sobre la necesidad de intentar esmerarse en cuanto a no reutilizar contraseñas.  » Leer más »

Si la seguridad de tus datos te importa, nunca -y digo nunca- utilices la misma contraseña en varios servicios web.

Lo sé; es incómodo tener una contraseña diferente para cada sitio, pero no queda más remedio. Una vez más, la comodidad es el peor enemigo de la seguridad. Basta con pararse a pensar un poco en lo mucho que cedemos a un desconocido cada vez que nos registramos en un sitio, y en lo que puede hacer con ello un webmaster (o blogger) deshonesto.

Para ilustrar el asunto, nada mejor que un ejemplo...  » Leer más »