prev
next
out of 15

Passwords

Tags:

Embed Size (px)

Citation preview

Diapositiva 1

Contraseas en Sistemas Operativos Windows - LinuxMS WindowsSecurity Account Manager (SAM)Un usuario habitualmente se identifica en Windows proporcionando el nombre de una cuenta y la contrasea asociada a la misma. Toda esta informacin, y alguna ms, se almacena en el Security Account Manager (SAM).Las contraseas, por supuesto, no se almacenan en texto claro, sino que en su lugar lo que all encontraremos ser el hash de las mismas. Apartir del Service Pack 3 para Windows NT existe la posibilidad de aadir una nueva capa de cifrado a los hashes del SAM, utilizando para ello una clave aleatoria de 128 bits. Esta clave adicional se conoce como SYSKEY.Almacenamiento de los nombres para las cuentas de usuarioSAM la informacin referente a las cuentas de usuario se almacena utilizando un numero de 48 bits nico denominado Identificador de Seguridad (SID).S-1-5-21-117609710-1343024091-842925246-500

Almacenamiento de los hashes para las contraseas de los usuariosMicrosoft ha mejorado gradualmente la seguridad de su fichero SAM, pero tambin ha mantenido la compatibilidad hacia atrs con sistemas inherentemente inseguros como Windows 9x. Con la cada vez mayor sofisticacin de herramientas capaces de atacar por fuerza bruta los hashes LM y NTLM, el cifrado (sobre todo el LM) se ha vuelto virtualmente intil si la contrasea no es realmente entrpica y compleja. En Vista/ 7, por fin, se ha eliminado al menos el eslabn ms dbil, el hash LMEl cifrado LM (Lan Manager)la SAM almacena dos cifrados por contrasea, LM y NTLM. LM es dbil e inseguro por diseo, y adems, teniendo en cuenta la potencia de los ordenadores actuales capaces de probar cientos de miles de contraseas por segundo, su 'cifrado' es virtualmente intil. LM no aprovecha bien los caracteres de las contraseas y adems comete otra serie de fallos importantes. Uno de los pasos para calcular el hash LM consiste en rellenar de '0' la contrasea hasta llegar a los 14 caracteres (en caso de que sea ms corta) y partir el resultado en dos trozos de 7 bytes cada uno (el segundo relleno de esos '0' si es necesario). Tambin convierte a maysculas todos los caracteres. Sobre estos dos trozos aplica un algoritmo estndar (DES) para cifrar una cadena arbitraria, conocida y fija (4b47532140232425) y los concatena.El cifrado NTLM (NTLan Manager)

NTLM supone el segundo "intento" de Microsoft por mejorar el protocolo de las contraseas. Por fin diferencia entre maysculas y minsculas e internamente es ms simple y robusto: calcula el hash cifrando con el estndar MD4 tras una pequea modificacin del valor hexadecimal de la contrasea.Pero por muchas mejoras que introduzca, NTLM queda anulado. Porque por defecto las contraseas son almacenadas y utilizadas en los dos formatos, el arcaico LM y NTLM, juntas en el mismo SAM. Un ejemplo claro de cmo la seguridad es tan fuerte como el ms dbil de sus eslabones.PWdump7Se ejecuta y extrae los HASH de las cuentas de la versin de Windows. Solo extrae!.

OPHCRACKEs un programa open source que permite extraer y crackear los HASH de los passwords de la cuentas de usuarios del sistema operativo Windows basandose en rainbow tables.

OPHCRACKSe puede utilizar en versiones live CD o como aplicacin. Cuando se utiliza como live cd sobre dispositivos con Windows permite extraer automticamente los Hashes.Tablas RainbowSon tablas pre-computadas de hashes definidos por un juego de caracteres. Por ejemplo se puede calcular los hashes para todas las combinaciones de nmeros de 0-9 y letras de la a-z. Adems debera considerarse el tamao de la combinacin, 2,3, 4, 5 digitos.Para el caso de hashes de Windows algunas se encuentran publicadas en la website de ophcrack.John the RipperEs un programa open source que permite evaluar la fortaleza de las contraseas cifradas con diferentes algoritmos. Realiza ataques de fuerza bruta o de diccionario adems auto detecta el algoritmo con el que se ha cifrado.

CEWLCifrado en Base de datosSCOTT:F894844C34402B67:CC92BE1125BD6136A74370F64B3957C9016402C0214E307BFCD34EF02sudo aptitude updatesudo aptitude install johnsudo unshadow /etc/passwd /etc/shadow > mispasswordsjohn mispasswordsjohn --show mispasswordsjohn --wordlist=diccionario.lst --rules mispasswordscwel ./cewl.rb -m 6 -w dict_propio.txt http://senamhi.gob.pe


PDF Passwords-Eltima

PDF Passwords-Eltima

Documents
8 login passwords

8 login passwords

Education
LinkedIn Passwords Lifted

LinkedIn Passwords Lifted

Technology
Security Awareness Passwords - Illinois.gov · 3 Passwords Password Cracking Find weak passwords Verify the use of good passwords Characters (complex) Estimated time to crack 7 15

Security Awareness Passwords - Illinois.gov · 3 Passwords Password Cracking Find weak passwords Verify the use of good passwords Characters (complex) Estimated time to crack 7 15

Documents
Passwords & security

Passwords & security

Technology
Graphical Passwords

Graphical Passwords

Technology
Kill All Passwords

Kill All Passwords

Technology
Access Control Passwords

Access Control Passwords

Documents
Passwords Das Cartas

Passwords Das Cartas

Documents
Passwords & corresponding accounts

Passwords & corresponding accounts

Technology
Passwords Everywhere

Passwords Everywhere

Documents
Passwords, Passwords and more Passwords

Passwords, Passwords and more Passwords

Technology
Naturally Rehearsing Passwords

Naturally Rehearsing Passwords

Documents
Perfect Passwords

Perfect Passwords

Documents
Routers Default Passwords

Routers Default Passwords

Documents
09 passwords

09 passwords

Technology
Passwords And Security

Passwords And Security

Technology
Passwords Defecto Routers

Passwords Defecto Routers

Documents
Making Strong Passwords

Making Strong Passwords

Technology
Using Hamiltonian Totems as Passwords Abstract 1 Visual passwords

Using Hamiltonian Totems as Passwords Abstract 1 Visual passwords

Documents
STRONG PASSWORDS

STRONG PASSWORDS

Documents
Oracle Default Passwords

Oracle Default Passwords

Documents
Infinite Alphabet Passwords

Infinite Alphabet Passwords

Documents
Passwords, Passwords, Passwords - MemberClicks · Most common passwords of 2017 1. 123456 2. 123456789 3. qwerty 4. 12345678 5. 111111 6. 1234567890 7. 1234567 8. password 9. 123123

Passwords, Passwords, Passwords - MemberClicks · Most common passwords of 2017 1. 123456 2. 123456789 3. qwerty 4. 12345678 5. 111111 6. 1234567890 7. 1234567 8. password 9. 123123

Documents
Passwords Issa

Passwords Issa

Documents
UNDERSTANDING PASSWORDS

UNDERSTANDING PASSWORDS

Documents
Secure Graphical Passwords

Secure Graphical Passwords

Documents
Strong Passwords

Strong Passwords

Documents
One-Time Passwords

One-Time Passwords

Documents
Passwords Perfectos

Passwords Perfectos

Documents