Tantas y tantas aplicaciones inundan hoy en día nuestro ordenador, que nos toca memorizar una gran cantidad de contraseñas. Como consecuencia terminamos poniendo siempre la misma. De hecho, conozco a mucha gente ¡que usa su clave de cajero! Así que el robo de nuestras passwords puede ser catastrófico.
Por eso voy a hacer una serie de posts explicando el funcionamiento de John The Ripper, un programa que nos servirá para evaluar lo fuerte o débil que es nuestra contraseña. Porque la mejor defensa es un buen ataque 😉
¿Qué es John the Ripper?
John the Ripper es una aplicación de código abierto que se utiliza para la recuperación de claves, o dicho de otra forma y dependiendo de quién lo use, un crackeador de contraseñas (de ahí lo de destripador). Con ella podremos comprobar la calidad de las claves de los usuarios, intentando encontrar las que sean débiles (y por tanto inseguras) y así previniendo que un presunto atacante que obtenga el fichero de claves, pueda hacer lo mismo.
Es multiplataforma (lo tenemos tanto para Unix, como para Windows, MS-DOS, BeOS y OpenVMS). Gracias a esta característica, se permite su uso incluso continuando una sesión que se comenzó en otro sistema.
Está diseñado para ser a la vez potente y rápido (aunque su rendimiento depende mucho de la máquina en la que se ejecute). Combina bastantes modos de recuperación de claves en un solo programa y es completamente configurable para distintas necesidades (incluso se puede definir un modo propio usando el compilador interno, que soporta un sublenguaje de C).
Hay tres formas de aplicar John:
- Single Crack: Este modo intentará usar la información de login/GECOS para obtener la password. Es decir, si al crear nuestro usuario hemos introducido nuestro nombre y apellidos, tratará de combinar esos datos para obtener la contraseña.
- Utilizando diccionarios de claves o archivos de palabras. Con esta posibilidad se permite añadir reglas para que el programa “juegue” con las palabras del diccionario. Esta opción es muy potente. De hecho, estoy convencida que con un diccionario del Señor de los Anillos sería capaz de conseguir el 50% de claves de los usuarios de la Red 😉
- Modo incremental o también conocido como fuerza bruta: como su propio nombre indica, probará todas las combinaciones de caracteres posibles. También será el modo que más recursos y tiempo consuma.
En próximos posts contaré cómo instalarlo y usar sus múltiples modos.
Y vosotros, ¿sois de los que usáis la misma contraseña para todo?
Pues habrá que probarlo 😛
Yo soy de los que usa claves diferentes para servicios diferentes (no una por cada servicio, pero casi).
Como además administro unos cuantos servidores, tengo unas cuantas más.
Ahora he reducido la cantidad, pero he llegado a manejar más de 30 diferentes (todas guardadas en la cabeza, donde no pueden ser accedidas ni copiadas 🙂
Sí, lo sé. Soy bastante paranoico. Pero eso es un plus cuando eres miembro de administradores anónimos 🙂
Saludos. Iñaki.
Pues y no puedo responderte a la última pregunta, porque podría abrir un enorme agujero de seguridad en mi cibermundo… o no 😉
@morpheus: iré completando el manual en estos días venideros.
@iñaki: te entiendo perfectamente. Es lo que tiene ser sysadmin, que te tienes que acordar de las contraseñas de todos tus servidores, de los servicios que corren en ellos (correo, BD, etc…), de los switches y routers, etc… Al final te juntas con un número de contraseñas bastante majo y por supuesto no hay que ser vago y repetir contraseñas ni ponerlas facilonas. Eso sí, tú te haces todo ese esfuerzo para que luego llegue un usuario panoli, pegue un post-it en su pantalla con su contraseña y te comprometa el sistema :S
@mak: ¿estás jugando con la ingeniería social para proteger tus contraseñas? 😛
Hummm, yo no me caliento la cabeza, uso un par de claves no muy complicadas preo las mezclo y remezclo para usarlas en diferentes situaciones, asi nunca se me olvidan, tan solo es cuestion de ir probando… 😛
un besote!!!
@media: a eso sólo le veo una pega: que uses la misma contraseña de tu correo para un servicio web. Porque nunca sabes quién puede estar tras ese servicio y le estás dando tu dirección de correo y contraseña 😉
Uys, las mezclo con mucha mala leche, no he comentado que suelen ser secuencias de numeros y palabros de mas de veinte digitos, y siempre no coinciden todas 😛
Yo más o menos tengo una clave «buena» que uso para los servicios más importantes. Es una clave, que me asignó Yahoo! hace ya unos 7 años cuando me registre en su servicio de mail por lo que no es una pass que se pueda descrubir así por intuición. Luego tengo un par de claves más sencillas que uso para servicios de «andar por casa» 🙂
Yo di unas pistas, que la verdad es que no sigo demasiado.
AQUI
@julen: te digo lo mismo que le dije a Media. Cuidado con esa mezcla de contraseñas porque al final terminas usando la misma en un servicio web que la del correo que precisamente has introducido como registro para ese servicio web 😉
@enrique: me ha gustado mucho ese post (veo a todos poniendo C0ntr@seña XDDDD). Yo al final de la saga también escribiré consejos para una buena contraseña. A ver qué sale 🙂
Jo… Yo tuve mi época de «buenas claves» eran perfectas, dos secuencias diferentes unidas… en fin que terminé sin poder entrar casi ni al mitad de mis… «cosas».
Y como manejo muchas pero que muchisimas claves… enfin…
Que sí, una sola y en mi cabeza…
Al jack lo he usado con fines «eXperimentales» pero de eso hace ya muuuuuucho…
Oye, que me está gustando tu Blog, da gusto leer a una «fémina» por estos mundillos…
Saludos !
X: gracias por pasarte por este rinconcillo.
Me gustará saber cuáles fueron esos fines «eXperimentales» con los que usaste a Jack 😉