Hace dos aos, HiveSystems public por primera vez una tabla de contraseas con los tiempos que le insumira a un atacante romperlas. Ahora actualizaron los datos para el 2022.

La tabla de 2020 mostraba la fortaleza relativa de una contrasea contra un intento de descifrado de fuerza bruta, segn la longitud y la complejidad de la contrasea. Los datos se basaron en cunto tiempo y presupuesto le tomara a un atacante descifrar el hash de una contrasea usando una computadora de escritorio con una tarjeta grfica de primer nivel.


Dos aos ms tarde, un perodo de tiempo bastante largo en trminos de mejora de la potencia de procesamiento, las cosas han cambiado bastante.
En el contexto de las contraseas, un "hash" es una versin codificada de una cadena de texto. En otras palabras, si se calcula el hash de la palabra "password" usando el mtodo de hashing MD5, el hash de salida es 5f4dcc3b5aa765d61d8327deb882cf99. Sabiendo esto, el atacante puede crackear un hash por fuerza bruta, lo cual significa hacer una lista de "todas" (en teora) las combinaciones de caracteres y luego codificarlas con el mtodo de hashing que desee y corresponda al sistema atacado. Al encontrar coincidencias entre su lista y los hashes de las contraseas robadas, el cracker pueden descubrir la contrasea.

Las tarjetas grficas son una placa especial que tiene una Unidad de Procesamiento Grfico (GPU) con una alta capacidad de clculo matemtico. Resulta que tambin son excelentes para extraer criptomonedas y calcular hashes. Por ejemplo, una aplicacin popular para cracking de hashes es Hashcat y permite utilizar la capacidad de clculo de las GPU para calcular hashes.

La tabla de contraseas de 2020 utiliz datos de 2018 basados en contraseas hasheadas con MD5 y descifradas con una GPU RTX 2080. La GPU superior de 2022 es la RTX 3090, la cual resulta que tiene casi el triple de poder de clculo de hashes por segundo.

Cunto se tarda para romper una contrasea?

Suponiendo que se utilice la recomendacin original de contraseas de 8 caracteres del NIST, los crackers pueden romperla en menos de 5 horas (suponiendo que se use todo el set de caracteres). Y, si se usa el poder de cmputo de la nube, ese tiempo baja a 39 minutos utilizando 8 GPUs e invirtiendo U$S 32,77 por hora. Obviamente, cuantas ms instancias se utilicen en paralelo, menos tiempo tomar.



Conclusin: cualquier contrasea por debajo de 16 caracteres es potencialmente crackeable en pocas horas.


Quin usa MD5 y SHA1 para codificar sus contraseas en 2022?


Buen punto! Las GPU pueden generar hashes MD5 muy rpidamente, mientras que otras funciones de hash hacen que el proceso sea lento por diseo. Aunque todava hay una cantidad sorprendente de sitios que usan MD5 y SHA1, hay un gran contingente que codifica sus contraseas con bcrypt y otros.

Qu pasa si una contrasea ha sido robada anteriormente, se usan palabras simples o se reutilizan entre sitios?


La tabla de contraseas se centra en la idea de que el atacante est trabajando en una situacin de "caja negra" y tiene que empezar desde cero para crackear el hash.
Mediante el uso de tablas de arcoris, ataques de diccionario y hashes robados anteriormente, el resultado del cracking es "inmediato" (un solo segundo).

Los SALT y hashes adaptativos?


La "sal" complica el proceso de cracking y afortunadamente lo mtodos modernos (como bcrypt, scrypt, Argon2 y PBKDF2) tienen el salting incorporado y terminan siendo ms fuerte que cualquier otra implementacin de hash. Por eso USALOS!.

Fuente: HiveSystems