|
El tema de la contraseña es un tema muy importante dentro del hacking, por
eso no quiero dejar pasar este tema el cual es largo pero imprescindible.
Contraseña y controles de Acceso
Se ha desarrollado tres clases principales de control de acceso para
proteger las instalaciones computarizadas. Son:
1-Controles basados en el conocimiento (contraseñas)
2-Controles basados en la posesión.
3-Controles basados en características personales (instrumentos biométricos)
Los controles basados en la posesión tienen que ver con objetos que posee el
usuario, como una llave física o una tarjeta magnética. A veces hay un clip
metálico de una forma peculiar que debe encajar en un agujero de la
computadora para que la computadora funcione.
Los instrumentos biométricos son los que examinan ciertos rasgos de un
usuario potencial y lo comparan con rasgos ya registrados tales como huellas
digitales, firma o geometría de la mano.
Estas dos formas de seguridad en computación pueden estar pensadas para
control de acceso remoto, aunque por lo común se las prepara en el lugar
donde están ubicadas las computadora para limitar el acceso ya sea al cuarto
de computación o a la propia computadora. De modo que las descripciones de
las llaves biométricas y físicas son para el hackeo "in situ".
La primera clase de control de acceso- la más común es la basada en el
conocimiento. Es decir, se permite el acceso a aquellas personas que puedan
probar que conocen algo secreto, por lo común una contraseña.
CONTRASEÑAS
El modo mas barato y fácil de proteger cualquier tipo de sistema
computarizado es con ese viejo recurso: la contraseña.
Por lo común se piensa en las contraseñas como llaves de entrada a un
sistema de computación, pero también son usadas con otros propósitos:
Para permitir escribir en los discos, como claves para encriptar, para
permitir la descompresión de los archivos y en otras instancias donde es
importante asegurar que sea el legitimo propietario o usuario quien esta
intentando una acción.
Hay siete clasificaciones principales de contraseñas. Son:
1) Contraseñas dadas por el usuario
2) Contraseñas al azar generadas por el sistema
3) Códigos de acceso generados al azar por el sistema
4) Mitad y mitad
5) Frases de acceso
6) Secuencias de preguntas y respuestas interactivas
7) Predeterminadas por coordinadas generadas por código
Si pretendes hackear una instalación de computación PRIMERO TENDRAS QUE
AVERIGUAR CUAL DE ESTOS SIETE TIPOS DE CONTRASEÑA USA EL SISTEMA.
Las contraseñas y los códigos al azar generados por el sistema pueden ser de
varios tipos. La programación del sistema puede suministrar una secuencia
totalmente al azar de caracteres - azarosos al extremo de que letras,
dígitos, símbolos de puntuación y extensión son todos los determinados en el
momento o pueden usarse limites en los procedimientos de generación tales
como que cada código de acceso se conforme a un formato fijo (como
"abc-12345-defg") donde las letras y los números son generados al azar. O
las contraseñas generadas por la computadora pueden ser tomadas al azar de
una lista de palabras o de sílabas sin sentido suministradas por los autores
del programa, creando así contraseñas como " nah.foop" o "tren-sol-bien".
La "mitad y mitad" es en parte suministrada por el usuario, mediante el
resto es mediante cierto proceso al azar.
Esto significa que incluso si un usuario elige la contraseña muy facil de
adivinar "secreto", la computadora le agregara alguna jerga abstrusa al
final, formando una contraseña mas segura como "secreto/5rh11".
Las frases de acceso son buenas en el sentido de que son largas y difíciles
de adivinar, pero fáciles de recordar. Las frases pueden ser coherentes como
"estabamos preocupados por eso", o pueden ser insensatas "pescados por
nuestra nariz. Las frases de acceso se usan cuando el encargado de un lugar
es muy propenso a la seguridad. Por lo común no veras que los sistemas
exijan frases de acceso.
El sexto tipo de contraseña, las secuencias de preguntas y respuestas, exige
que el usuario suministre respuestas a varias preguntas (por lo común
personales):"¿Apellido de soltera de su esposa?","¿Color favorito?", etc. La
computadora tendrá archivada las respuestas a muchas preguntas de este tipo
y durante el Log-in pedira la respuesta de dos o tres de ellas.
Las contraseñas que están predeterminadas por coordenadas generadas por
códigos por lo común confían en algún artefacto externo, tales como las
ruedas de código que se usan para impedir la piratería de software. En todo
caso un conjunto de prompts clave son presentados por la computadora, y se
exige al usuario que ingrese las respuestas apropiadas. Con frecuencia veras
que este tipo de contraseña se usa en un sistema con códigos de
una-sola-vez.
Los códigos de una-sola-vez son contraseñas validas para un solo acceso. A
veces son empleadas en cuentas invitadas temporarias para mostrar un sistema
a clientes potenciales. Los códigos de una-sola-vez también pueden ser
empleados por el sistema para permitir a los usuarios verdaderos hacer el
Log-in por primera vez; se esperara entonces que los usuarios cambien la
contraseña que se les suministro a una más segura, personal. En situaciones
donde haya grupos de personas que tienen que hacer el Log-in, pero deba
mantenerse la seguridad, puede suministrarse una lista de códigos de
una-sola-vez. Los usuarios extraen entonces un código por vez, dependiendo
de códigos externos tales como la hora, la fecha o el día. Tal vez puedas
encontrar una lista de códigos revisando basura. Los códigos ya no
funcionaran, pero tendrás la sensación de lo que un sistema espera de ti.
Contraseña suministrada por el usuario (Continuación)
La mayoría de las contraseñas son de la clase "elígelas tu mismo" y debido a
la mayor conciencia existente acerca de la seguridad, la mayoria de los
programas actuales que piden contraseñas no aceptaran aquellas de extension
breve que el programa considere "hackeables" con demasiada facilidad. La
mayoria de las contraseñas sera de mas de 4 o 5 caracteres de extension.
Tambien pueden tomarse otras medidas para proteger a los usuarios de su
propia falta de creatividad. Por ejemplo, los sistemas pueden obligar a que
las contraseñas contengan una mezcla de minusculas, mayusculas y numeros, o
tal vez rechazar contraseñas obvias (como "computadora")
Para la mayoría de los sistemas hay software disponibles que revisa los
archivos de contraseñas de la computadora, analiza las de los usuarios y
decide hasta que punto son seguras. Las contraseñas inseguras se cambiaran o
se bloquearan desde un principio.
Sin que importe la torpeza cerebral o la brillantez de una persona, toda la
gente tiende a pensar de modo semejante. Solo mediante el aprendizaje
empiezan a pensar de modo creativo.
Imagine algunas de las situaciones en las que se encuentra la gente cuando
le piden que cree una contraseña secreta por si misma.
Pueden estar llamando desde una computadora remota por una linea de larga
distancia o rodeado de tecnicos que estan alli para enseñarles a usar el
sistema. En cualquier caso, el pedido esta alli en pantalla, y con el una
sensación mental de urgencia. La gente escribe lo primero que se les pasa
por la mente, lo primero que ven o escuchan. La contraseña es ingresada con
apuro y rara vez se la cambia por una contraseña mas segura.
De ese modo, muchas contraseñas se relacionan con pensamientos inmediatos,
tales como el trabajo, la familia, posiblemente acontecimientos de ese
momento, posesiones, entorno, hobbies o intereses. Si puedes descubrir o
adivinar alguno de esos rasgos de un usuario valido del sistema, la cantidad
de contraseñas potenciales que tendrás que adivinar diminuirá de modo
significativo. Si a eso le sumamos un gran software como el REVENGE (para
abrir correos Hotmail, mixmail, latinmail y starmedia)que contiene un
diccionario con mas de 5 millones de palabras, seudonimos, compuestos,
claves generadas por la maquina y trivialidades en menos de 5 horas estaras
espiando el correo elegido; Lo mismo con FRATERNITY pero para paginas web,
el acceso prohibido deja las puertas abiertas en la mayoria de los casos .
Si bien estos software no se consiguen gratis es bueno destacar su
funcionalidad.
Pero el tema aca es el estudio del lugar, la persona, el entorno.
¿En oficinas cuantas veces has visto bromas como: "No tienes que ser loco
para trabajar aquí...Pero ayuda!". Te garantizo que cada dia hay alguien que
elige la palabra "loco" como contraseña o "elloco", "laloca", etc,etc.
Piensa en la edad y el estilo de vida del usuario promedio en cuya cuenta
estas tratando de irrumpir. Es probable que un entorno oficinezco no tenga
en la pared un desplegable de PlayBoy, pero un dormitorio estudiantil si
puede tenerlo, y asi puedes conseguir contraseñas como "conejita", "cuerpo",
"calendario", "sexuales", etc,etc.
Lo mas frecuente es que estes hackeando cuentas de usuarios que estan
establecidas desde hace mucho tiempo. En estos casos tendras que usar algun
tipo de metodo de fuerza bruta, o algun metodo tecnico, social o de
observacion para extraer contraseñas.
La mayoria de las contraseñas son palabras de diccionario, como "subte",
"mesa", "chocolate", o "guiso". Honestamente, ¿puedes imaginar a un novicio
en computación sentándose e ingresando "fMm6Pe#" como contraseña? Por
supuesto que no!
Lo que si importa es que tienes que ser consciente de que las palabras mal
escritas existen en contraseñalandia . Vas a encontrar la letra "k" usada en
vez de "c" como en "koka kola". Encontraras la letra "x" en vez de la "cc"
(perfexion) y otras sustituciones sonoras, como "yuvia" "sacso" y "enpleo".
Por lo general las contraseñas de palabras reales seran sustantivos
("oreja", "tambores", "cocina"), verbos (por lo común obscenos) y tal vez
adjetivos ("purpura", "gran", "feliz")
Los nombres de novios, novias y los apelativos cursis con los que se tratan
entre si son contraseñas populares; tendrias que averiguarlos mediante una
investigacion preliminar. Tambien son semi-populares las contraseñas que
contienen la palabra "seguro" incorporada, como "reaseguro" o
"aseguramiento" o "tla" (abreviatura de "te lo aseguro") Además de las
palabras de diccionario puedes esperar encontrarte con nombres de parientes,
calles, mascotas, equipos deportivos y comidas ; las fechas importantes y
los numeros de documentos de identidad, como asi tambien los numeros de
jubilacion, los aniversarios o los cumpleaños y esquemas de teclado. Los
ejemplos de esquema de teclado incluyen "jkjkjk" "7u7u7u", "wxwxwx",
"cccccc", "098765432" , "idem + nombre", "asdfg", "qazwsx".
ESTUDIO DE LA CONTRASEÑA
Se ha hecho una buena cantidad de estudios formales e informales para saber
hasta que punto es buena la gente para elegir contraseñas seguras.
Uno de los estudio descubrió que de 3289 contraseñas:
 5 eran solo caracteres ASCII
 2 eran dos caracteres
 64 eran tres caracteres
 477 tenian 4 caracteres de extension
 706 tenian cinco letras, todas mayusculas o minusculas
 605 tenian seis letras, todas minusculas
Lo que importa es esto: Los hackers pueden sentarse sencillamente y
conseguir contraseñas es un HECHO no una FICCION. Puede hacerse, y a veces
con bastante facilidad.
Otro ejemplo de la facilidad con la que pueden hackearse las contraseñas es
el gusano de Internet que en 1988 se arrastro por el interior de la red,
colgandola en gran parte. El gusano tenia dos tacticas para propagarse una
de las cuales era intentar desentrañar contraseñas de usuarios. Lo primero
que probaba era meter las contraseñas tipicas, tales como el nombre usado en
el log-in , el nombre de pila o el apellido de el/ella, y otras variaciones
de estos datos. Si eso no funcionaba, el gusano tenia un diccionario de 432
contraseñas comunes para probar. Por ultimo si fallaba estos dos metodos el
gusano pasaba al diccionario del sistema UNIX intentando cada palabra por
vez, esperando que funcionara algo.Según sabemos, el emtodo del gusano
funciono soberbiamente.
Dicho sea de paso si alguna vez estas en un sistema UNIX y necesitas hacer
un ataque de fuerza bruta para ganar un acceso de mayor nivel, el
diccionario del sistema es muy util. Puedes encontrarlo en un subdirectorio
llamado "/usr/dict". El archivo se llama "words".
______________________________________________________
Get Your Private, Free Email at http://www.hotmail.com
Aún no hay comentarios para este recurso.
Monografias, Exámenes, Universidades, Terciarios, Carreras, Cursos, Donde Estudiar, Que Estudiar y más: Desde 1999 brindamos a los estudiantes y docentes un lugar para publicar contenido educativo y nutrirse del conocimiento.
Contacto »