Crackear senhas é fácil. Nate Anderson, do ArsTechnica, descobriu isso e em poucas horas crackeou mais de 8 mil passwords. Usando apenas ferramentas gratuitas disponíveis para qualquer um na internet.
Ele escreveu uma longa e excelente matéria sobre suas experiências hackeando senhas. Anderson conta que seu conhecimento de hacker era bem limitado e uma vez ele acessou a porta 25 do servidor de e-mail da sua escola para enviar um e-mail falso para um colega. E só. E agora ele aceitou o desafio de aprender a crackear senhas.
“Parecia um desafio interessante. Eu conseguiria, usando apenas ferramentas gratuitas e recursos da internet, ter êxito em:
1. Encontrar uma série de senhas para crackear
2. Encontrar um cracker de passwords
3. Encontrar uma série de listas de palavras de alta qualidade
4. Fazer tudo rodar em um laptop para
5. Crackear ao menos uma senha
6. Em menos de um dia de trabalho?Eu consegui.”
Encontrar o material necessário para aprender a crackear uma senha foi bem fácil. Afinal, ele estava na internet e é possível encontrar de tudo por aqui. Existem fóruns dedicados apenas à prática de crackear passwords, e pessoas que desenvolvem softwares para facilitar para quem não tem muito conhecimento.
Ele pegou um arquivo com 15 mil senhas para começar. Mas não é apenas ter acesso às senhas e começar a fazer tentativas em sites para acessar as contas dos outros. Anderson explica que é bem mais complexo do que isso:
“Crackear passwords não é feito ao tentar fazer login em um banco milhões de vezes; websites geralmente não permitem muitas tentativas erradas, e o processo seria muito lento mesmo se fosse possível. O crack é feito offline após a pessoa conseguir uma lista longa de senhas desordenadas, muitas vezes hackeando (mas algumas vezes através de meios legais como uma auditoria de segurança ou quando um usuário corporativo esquece a senha usada em um documento importante criptografado).
A desordenação envolve pegar cada senha de usuário e rodá-las em uma função matemática que gera uma linha de números e letras. Isso dificulta que a senha seja revertida, e, portanto, permite que sites armazenem com segurança (ou “segurança” em muitos casos) senhas sem simplesmente manter uma lista delas. Quando um usuário digita uma senha na tentativa de entrar em um serviço, o sistema ordena a senha e compara com a que está armazenada.
Então é necessário um jeito de converter as senhas desordenadas para conseguir usá-las. Existem softwares feitos por crackers experientes para os mais inexperientes usarem. E Anderson foi atrás de um deles: o Hashcat. As primeiras tentativas não foram muito bem sucedidas. Mas, ao ler um relato de um especialista de segurança que encontrou as mesmas dificuldades para tentar crackear as senhas, Anderson percebeu que estava pelo menos no caminho certo. Ele continuou tentando e quando estava prestes a largar tudo para ir beber pelo resto da tarde, finalmente teve sucesso. Ele descobriu uma senha “czacza”
Usando o método que garantiu o primeiro passwords crackeado, Anderson intensificou as tentativas e começou a ter mais resultados com menos esforço. Ao final do dia, ele percebeu o quão fácil é conseguir crackear uma senha.
“Após o meu experimento de um dia, eu fiquei abalado. Crackear senhas pe tão fácil, as ferramentas tão sofisticados, as CPUs e GPUs tão podentes para eu acreditar que minhas tentativas básicas de reforçar minha senhas são uma solução de longo prazo. Eu resisti a gerenciadores de senhas no passado com preocupações sobre armazenar dados na nuvem ou o trabalho de sincronizar com outros computaodres ou acessar as senhas a partir de dispositivos móveis, ou porque achei que gastar US$ 50 nunca parecia valer a pena – só os outros são hackeados, certo?
Mas até outras formas de autenticação se tornarem comuns, a humilde senha vai ser uma defesa primária das nossas informações pessoais. Chegou a hora de encontrar uma nova forma de gerar, armazenar e manipulá-las.
Então por mais que você ache que a sua senha com letras maiúsculas, minúsculas, números, caracteres especiais e o qualquer outra coisa seja segura, ela não é tão segura assim. Mas infelizmente não há muito o que fazer atualmente e ainda dependemos muito delas. Você pode ler o relato completo de Nate Anderson no link a seguir: [ArsTechnica]
Foto por marc falardeau/Flickr