Algo que puede parecer imposible, a veces no lo es tanto, y es que esto que se podrÃa tomar como un titular amarillista y rozando la mentira, no lo es tanto en el momento en que se descubre que este tipo de software funciona. En este excelente post de Un Mundo Binario cuentan la experiencia de utilizar Ophcrack.
Este programa se tuesta en un LiveCD -CD de arranque, para los más profanos- y el programa se ocupa de averiguarla por ti. Esto puede ser muy útil, por ejemplo, cuando olvidas la contraseña que le habÃas puesto al usuario en cierta máquina que no sueles tocar mucho o cuando le pasa otro. Claro está que si no son ordenadores (y usuarios) a los que estés autorizado a acceder, es un acto ilegal y NO se debe hacer bajo ningún concepto. Y claro está que el fin de este artÃculio es solo informativo. Aviso por si acaso. Después de contar como utilizar este método, también contamos como evitarlo (es muy sencillo).
Si crees que has entendido lo anterior,
El uso de este programa, según el artÃculo original en inglés de “How to Crack a Window’s Password in 5 Minutes†dice, entre otras cosas:
“Sin importar cuál sea la razón para necesitarlo, encontrar la contraseña de Windows se generalmente simple, y puede ser realizado en un periodo corto de tiempo.â€
“Para encontrar la contraseña de Windows, usted necesitará un programa llamado Ophcrack. Es completamente gratuito y funciona muy bienâ€
“… el Live CD iniciará las tablas rainbow y automaticamente comenzará a trabajar por la contraseña. Para la mayorÃa de las contraseñas de usuarios, solo tomará unos segundos crackearlas. Para contraseñas alfanuméricas más extensas, tomrá unos minutos, pero es la exepción, no la regla.â€
“Una vez que encuentre la contraseña, anotala por ahÃ, quitá el CD y reiniciá el sistema. Ingresá la contraseña en el login y luego hace lo que quieras.â€
“Nota: el sentido común indica que esto solo debe ser utilizado en computadoras donde usted está autorizado a acceder. Si utiliza esto para computadoras no autorizadas, eso es ilegal. Este artÃculo es solo confines informativos.â€
Según comentan en Un Mundo Binario, el tiempo no ha sido cinco minutos pero porque se trataba de contraseñas alfanúmericas que son más difÃciles de averiguar, pero sin embargo si logró averiguar las contraseñas de 3 usuarios en un tiempo total de 25 minutos aproximadamente.
Ésto es posible, como se explica en este post, gracias a las tablas tablas rainbow, que se trata de una forma que utiiza el sistema para guardar las contraseñas, sin caer en el texto plano, aplicando una función Hash y almacenándolo en un archivo (en el caso de Windows en C:\Windows\System32\config\SAM). Este tipo de funciones de encriptación tan molonas, solo tienen un inconveniente y es que la variable siempre es la misma, y es donde las tablas rainbow entran en juego permitiendo sacar el vallor original de la cadena de alfanumérica que sale tras el cifrado.
Siendo una tabla rainbow «una colección enorme de Hashes con los algoritmos más conocidos» según explican en el post. Según se pudo ver (y es que se lo curraron un rato largo para ver ocmo funcionaba este sistema) las alternativas para hacer más seguras las contraseñas almacenadas con Hash son utilizar espacios en blanco en las contraseñas, o añadir variables aleatorias en la función Hash que puede resultar más complejo.
VÃa Microsiervos
