El mes pasado se hizo público que HashCat, una herramienta de código abierto originalmente concebida para la recuperación de claves, es capaz también de descifrar contraseñas hash de ocho caracteres de Windows NTLM en menos de 2,5 horas. En un hilo publicado en Twitter, los responsables del proyecto de software afirmaron que la versión 6.0.0 beta de HashCat superaba el punto de referencia de velocidad de cracking NTLM de 100GH/s (gigahashes por segundo), gracias a que utiliza ocho GPUs Nvidia GTX 2080Ti.
Alcanzar esta velocidad de computación permite probar suficientes combinaciones de caracteres por segundo para dar con cualquier contraseña en cuestión de horas.
Este logro es relevante porque hasta ahora las directivas de muchas agencias reguladoras aconsejaban que las contraseñas tuvieran, al menos, ocho caracteres de longitud, así que es probable que esas recomendaciones sean revisadas próximamente.
Organismos como el Instituto Nacional de Estándares y Tecnología de EEUU, por ejemplo, han venido fomentando ese mínimo de ocho símbolos, lo que significa que muchas empresas norteamericanas han aplicado esa política. Aunque no todas: algunos proveedores de servicios en línea ni siquiera exigen tanto, como Facebook, LinkedIn y Twitter, que sólo requieren seis.
NTLM es un antiguo protocolo de autenticación de Microsoft que ya ha sido reemplazado por Kerberos. No obstante, la noticia siembra algunas dudas en todas las organizaciones que dependan de Windows y Active Directory, ya que en algunos casos el protocolo de seguridad NTLM todavía se utiliza para almacenar contraseñas de Windows localmente o en el archivo NTDS.dit en los controladores de dominio de Active Directory.
De acuerdo con los responsables de HashCat, si tienes una contraseña de ocho caracteres totalmente aleatoria con mayúsculas, minúsculas, números y símbolos, la herramienta la descifrará -de promedio- en una hora y quince minutos. Si eliges un esquema común, como palabras o nombres con la primera letra en mayúscula y un número al final, la identificará instantáneamente.
Origen: Tu contraseña se puede decifrar en un par de horas – Panda Security
