El tema de la contraseña es un tema muy importante dentro del hacking, por

eso no quiero dejar pasar este tema el cual es largo pero imprescindible.

Contraseña y controles de Acceso

Se ha desarrollado tres clases principales de control de acceso para

proteger las instalaciones computarizadas. Son:

1-Controles basados en el conocimiento (contraseñas)

2-Controles basados en la posesión.

3-Controles basados en características personales (instrumentos biométricos)

Los controles basados en la posesión tienen que ver con objetos que posee el

usuario, como una llave física o una tarjeta magnética. A veces hay un clip

metálico de una forma peculiar que debe encajar en un agujero de la

computadora para que la computadora funcione.

Los instrumentos biométricos son los que examinan ciertos rasgos de un

usuario potencial y lo comparan con rasgos ya registrados tales como huellas

digitales, firma o geometría de la mano.

Estas dos formas de seguridad en computación pueden estar pensadas para

control de acceso remoto, aunque por lo común se las prepara en el lugar

donde están ubicadas las computadora para limitar el acceso ya sea al cuarto

de computación o a la propia computadora. De modo que las descripciones de

las llaves biométricas y físicas son para el hackeo "in situ".

La primera clase de control de acceso- la más común es la basada en el

conocimiento. Es decir, se permite el acceso a aquellas personas que puedan

probar que conocen algo secreto, por lo común una contraseña.

CONTRASEÑAS

El modo mas barato y fácil de proteger cualquier tipo de sistema

computarizado es con ese viejo recurso: la contraseña.

Por lo común se piensa en las contraseñas como llaves de entrada a un

sistema de computación, pero también son usadas con otros propósitos:

Para permitir escribir en los discos, como claves para encriptar, para

permitir la descompresión de los archivos y en otras instancias donde es

importante asegurar que sea el legitimo propietario o usuario quien esta

intentando una acción.

Hay siete clasificaciones principales de contraseñas. Son:

1) Contraseñas dadas por el usuario

2) Contraseñas al azar generadas por el sistema

3) Códigos de acceso generados al azar por el sistema

4) Mitad y mitad

5) Frases de acceso

6) Secuencias de preguntas y respuestas interactivas

7) Predeterminadas por coordinadas generadas por código

Si pretendes hackear una instalación de computación PRIMERO TENDRAS QUE

AVERIGUAR CUAL DE ESTOS SIETE TIPOS DE CONTRASEÑA USA EL SISTEMA.

Las contraseñas y los códigos al azar generados por el sistema pueden ser de

varios tipos. La programación del sistema puede suministrar una secuencia

totalmente al azar de caracteres - azarosos al extremo de que letras,

dígitos, símbolos de puntuación y extensión son todos los determinados en el

momento o pueden usarse limites en los procedimientos de generación tales

como que cada código de acceso se conforme a un formato fijo (como

"abc-12345-defg") donde las letras y los números son generados al azar. O

las contraseñas generadas por la computadora pueden ser tomadas al azar de

una lista de palabras o de sílabas sin sentido suministradas por los autores

del programa, creando así contraseñas como " nah.foop" o "tren-sol-bien".

La "mitad y mitad" es en parte suministrada por el usuario, mediante el

resto es mediante cierto proceso al azar.

Esto significa que incluso si un usuario elige la contraseña muy facil de

adivinar "secreto", la computadora le agregara alguna jerga abstrusa al

final, formando una contraseña mas segura como "secreto/5rh11".

Las frases de acceso son buenas en el sentido de que son largas y difíciles

de adivinar, pero fáciles de recordar. Las frases pueden ser coherentes como

"estabamos preocupados por eso", o pueden ser insensatas "pescados por

nuestra nariz. Las frases de acceso se usan cuando el encargado de un lugar

es muy propenso a la seguridad. Por lo común no veras que los sistemas

exijan frases de acceso.

El sexto tipo de contraseña, las secuencias de preguntas y respuestas, exige

que el usuario suministre respuestas a varias preguntas (por lo común

personales):"¿Apellido de soltera de su esposa?","¿Color favorito?", etc. La

computadora tendrá archivada las respuestas a muchas preguntas de este tipo

y durante el Log-in pedira la respuesta de dos o tres de ellas.

Las contraseñas que están predeterminadas por coordenadas generadas por

códigos por lo común confían en algún artefacto externo, tales como las

ruedas de código que se usan para impedir la piratería de software. En todo

caso un conjunto de prompts clave son presentados por la computadora, y se

exige al usuario que ingrese las respuestas apropiadas. Con frecuencia veras

que este tipo de contraseña se usa en un sistema con códigos de

una-sola-vez.

Los códigos de una-sola-vez son contraseñas validas para un solo acceso. A

veces son empleadas en cuentas invitadas temporarias para mostrar un sistema

a clientes potenciales. Los códigos de una-sola-vez también pueden ser

empleados por el sistema para permitir a los usuarios verdaderos hacer el

Log-in por primera vez; se esperara entonces que los usuarios cambien la

contraseña que se les suministro a una más segura, personal. En situaciones

donde haya grupos de personas que tienen que hacer el Log-in, pero deba

mantenerse la seguridad, puede suministrarse una lista de códigos de

una-sola-vez. Los usuarios extraen entonces un código por vez, dependiendo

de códigos externos tales como la hora, la fecha o el día. Tal vez puedas

encontrar una lista de códigos revisando basura. Los códigos ya no

funcionaran, pero tendrás la sensación de lo que un sistema espera de ti.

Contraseña suministrada por el usuario (Continuación)

La mayoría de las contraseñas son de la clase "elígelas tu mismo" y debido a

la mayor conciencia existente acerca de la seguridad, la mayoria de los

programas actuales que piden contraseñas no aceptaran aquellas de extension

breve que el programa considere "hackeables" con demasiada facilidad. La

mayoria de las contraseñas sera de mas de 4 o 5 caracteres de extension.

Tambien pueden tomarse otras medidas para proteger a los usuarios de su

propia falta de creatividad. Por ejemplo, los sistemas pueden obligar a que

las contraseñas contengan una mezcla de minusculas, mayusculas y numeros, o

tal vez rechazar contraseñas obvias (como "computadora")

Para la mayoría de los sistemas hay software disponibles que revisa los

archivos de contraseñas de la computadora, analiza las de los usuarios y

decide hasta que punto son seguras. Las contraseñas inseguras se cambiaran o

se bloquearan desde un principio.

Sin que importe la torpeza cerebral o la brillantez de una persona, toda la

gente tiende a pensar de modo semejante. Solo mediante el aprendizaje

empiezan a pensar de modo creativo.

Imagine algunas de las situaciones en las que se encuentra la gente cuando

le piden que cree una contraseña secreta por si misma.

Pueden estar llamando desde una computadora remota por una linea de larga

distancia o rodeado de tecnicos que estan alli para enseñarles a usar el

sistema. En cualquier caso, el pedido esta alli en pantalla, y con el una

sensación mental de urgencia. La gente escribe lo primero que se les pasa

por la mente, lo primero que ven o escuchan. La contraseña es ingresada con

apuro y rara vez se la cambia por una contraseña mas segura.

De ese modo, muchas contraseñas se relacionan con pensamientos inmediatos,

tales como el trabajo, la familia, posiblemente acontecimientos de ese

momento, posesiones, entorno, hobbies o intereses. Si puedes descubrir o

adivinar alguno de esos rasgos de un usuario valido del sistema, la cantidad

de contraseñas potenciales que tendrás que adivinar diminuirá de modo

significativo. Si a eso le sumamos un gran software como el REVENGE (para

abrir correos Hotmail, mixmail, latinmail y starmedia)que contiene un

diccionario con mas de 5 millones de palabras, seudonimos, compuestos,

claves generadas por la maquina y trivialidades en menos de 5 horas estaras

espiando el correo elegido; Lo mismo con FRATERNITY pero para paginas web,

el acceso prohibido deja las puertas abiertas en la mayoria de los casos .

Si bien estos software no se consiguen gratis es bueno destacar su

funcionalidad.

Pero el tema aca es el estudio del lugar, la persona, el entorno.

¿En oficinas cuantas veces has visto bromas como: "No tienes que ser loco

para trabajar aquí...Pero ayuda!". Te garantizo que cada dia hay alguien que

elige la palabra "loco" como contraseña o "elloco", "laloca", etc,etc.

Piensa en la edad y el estilo de vida del usuario promedio en cuya cuenta

estas tratando de irrumpir. Es probable que un entorno oficinezco no tenga

en la pared un desplegable de PlayBoy, pero un dormitorio estudiantil si

puede tenerlo, y asi puedes conseguir contraseñas como "conejita", "cuerpo",

"calendario", "sexuales", etc,etc.

Lo mas frecuente es que estes hackeando cuentas de usuarios que estan

establecidas desde hace mucho tiempo. En estos casos tendras que usar algun

tipo de metodo de fuerza bruta, o algun metodo tecnico, social o de

observacion para extraer contraseñas.

La mayoria de las contraseñas son palabras de diccionario, como "subte",

"mesa", "chocolate", o "guiso". Honestamente, ¿puedes imaginar a un novicio

en computación sentándose e ingresando "fMm6Pe#" como contraseña? Por

supuesto que no!

Lo que si importa es que tienes que ser consciente de que las palabras mal

escritas existen en contraseñalandia . Vas a encontrar la letra "k" usada en

vez de "c" como en "koka kola". Encontraras la letra "x" en vez de la "cc"

(perfexion) y otras sustituciones sonoras, como "yuvia" "sacso" y "enpleo".

Por lo general las contraseñas de palabras reales seran sustantivos

("oreja", "tambores", "cocina"), verbos (por lo común obscenos) y tal vez

adjetivos ("purpura", "gran", "feliz")

Los nombres de novios, novias y los apelativos cursis con los que se tratan

entre si son contraseñas populares; tendrias que averiguarlos mediante una

investigacion preliminar. Tambien son semi-populares las contraseñas que

contienen la palabra "seguro" incorporada, como "reaseguro" o

"aseguramiento" o "tla" (abreviatura de "te lo aseguro") Además de las

palabras de diccionario puedes esperar encontrarte con nombres de parientes,

calles, mascotas, equipos deportivos y comidas ; las fechas importantes y

los numeros de documentos de identidad, como asi tambien los numeros de

jubilacion, los aniversarios o los cumpleaños y esquemas de teclado. Los

ejemplos de esquema de teclado incluyen "jkjkjk" "7u7u7u", "wxwxwx",

"cccccc", "098765432" , "idem + nombre", "asdfg", "qazwsx".

ESTUDIO DE LA CONTRASEÑA

Se ha hecho una buena cantidad de estudios formales e informales para saber

hasta que punto es buena la gente para elegir contraseñas seguras.

Uno de los estudio descubrió que de 3289 contraseñas:

 5 eran solo caracteres ASCII

 2 eran dos caracteres

 64 eran tres caracteres

 477 tenian 4 caracteres de extension

 706 tenian cinco letras, todas mayusculas o minusculas

 605 tenian seis letras, todas minusculas

Lo que importa es esto: Los hackers pueden sentarse sencillamente y

conseguir contraseñas es un HECHO no una FICCION. Puede hacerse, y a veces

con bastante facilidad.

Otro ejemplo de la facilidad con la que pueden hackearse las contraseñas es

el gusano de Internet que en 1988 se arrastro por el interior de la red,

colgandola en gran parte. El gusano tenia dos tacticas para propagarse una

de las cuales era intentar desentrañar contraseñas de usuarios. Lo primero

que probaba era meter las contraseñas tipicas, tales como el nombre usado en

el log-in , el nombre de pila o el apellido de el/ella, y otras variaciones

de estos datos. Si eso no funcionaba, el gusano tenia un diccionario de 432

contraseñas comunes para probar. Por ultimo si fallaba estos dos metodos el

gusano pasaba al diccionario del sistema UNIX intentando cada palabra por

vez, esperando que funcionara algo.Según sabemos, el emtodo del gusano

funciono soberbiamente.

Dicho sea de paso si alguna vez estas en un sistema UNIX y necesitas hacer

un ataque de fuerza bruta para ganar un acceso de mayor nivel, el

diccionario del sistema es muy util. Puedes encontrarlo en un subdirectorio

llamado "/usr/dict". El archivo se llama "words".

______________________________________________________

Get Your Private, Free Email at http://www.hotmail.com