El fin de la contraseña de ocho caracteres: HashCat puede crackearlas en menos de 2,5 horas
Es normal que cuando nos registramos en cualquier servicio web veamos una advertencia en la que se nos indica que la contraseña debe ser al menos de ocho caracteres. Hasta el NIST, un organismo especializado en estos temas, ofrece dicho consejo. Pues bien: esa recomendación está quedándose obsoleta.
Es lo que ha demostrado HashCat, una herramienta Open Source de recuperación de contraseñas que es capaz de crackear cualquier contraseña de ocho caracteres para el ya veterano sistema NTLM de Windows en apenas dos horas y media.
«Las contraseñas de ocho caracteres están muertas»
Las recomendaciones para una contraseña fuerte suelen comenzar con esa longitud de caracteres, que desde hace tiempo se establecía con unos mínimos de al menos ocho caracteres. Las modernas GPUs, no obstante, han hecho que esa recomendación se esté quedando anticuada.
En un hilo en Twitter, los responsables de HashCat explicaban como en la última versión de HashCat 6.0.0 Beta era posible combinar la potencia de ocho tarjetas gráficas RTX 2080 Ti para realizar un ataque offline que superara la cifra de velocidad de cracking de 100 GH/s (gigahashes por segundo). Dichos desarrolladores lo dejaban claro:
Las pruebas de crackeo de contraseñas actuales muestran que la contraseña mínima de ocho caracteres, sin importar su complejidad, puede ser crackeada en menos de 2,5 horas.
Para el hacker Tinker, que conversó en Twitter con The Register, la conclusión era clara: «la contraseña de ocho caracteres está muerta«. Al menos, desde luego para el caso estudiado, que era un conjunto de contraseñas basadas en el protocolo de autenticación NTLM, un viejo sistema utilizado en Microsoft Windows y en Active Directory que desde hace tiempo ha sido reemplazado en casi todos los escenarios por Kerberos.
Fuente: xataka.com