Las contraseñas de 8 caracteres de Windows se pueden descifrar en menos de 2,5 horas
Las recomendaciones de seguridad son unánimes: es necesario utilizar contraseñas complejas (combinación de mayúsculas, minúsculas, números y símbolos) y disponer de una diferente para cada cuenta. Esto puede suponer una cierta incomodidad para algunos usuarios, que tienen problemas para recordar todas esas claves y hace que tiendan a escoger la longitud mínima permitida (generalmente de ocho caracteres) para que les sea más fácil retener varios passwords complejos. El problema es que ahora sabemos que cualquier contraseña de ocho caracteres -por compleja que sea- puede ser descifrada en sólo un par de horas. Y en la mayoría de casos, en unos minutos.
El pasado mes se hizo público que HashCat, una herramienta de código abierto originalmente concebida para la recuperación de claves, es capaz también de descifrar contraseñas hash de ocho caracteres de Windows NTLM en menos de 2,5 horas. En un hilo publicado en Twitter, los responsables del proyecto de software afirmaron que la versión 6.0.0 beta de HashCat superaba el punto de referencia de velocidad de cracking NTLM de 100GH/s (gigahashes por segundo), gracias a que utiliza ocho GPUs Nvidia GTX 2080Ti. Alcanzar esta velocidad de computación permite probar suficientes combinaciones de caracteres por segundo para dar con cualquier contraseña en cuestión de horas.
hand-tuned hashcat 6.0.0 beta and 2080Ti (stock clocks) breaks NTLM cracking speed mark of 100GH/s on a single compute device pic.twitter.com/aVRMpbap4H
— hashcat (@hashcat) 13 de febrero de 2019
Este logro es relevante porque hasta ahora las directivas de muchas agencias reguladoras aconsejaban que las contraseñas tuvieran, al menos, ocho caracteres de longitud, así que es probable que esas recomendaciones sean revisadas próximamente. Organismos como el Instituto Nacional de Estándares y Tecnología de EEUU, por ejemplo, han venido fomentando ese mínimo de ocho símbolos, lo que significa que muchas empresas norteamericanas han aplicado esa política. Aunque no todas: algunos proveedores de servicios en línea ni siquiera exigen tanto, como Facebook, LinkedIn y Twitter, que sólo requieren seis.
Reforzar las claves
NTLM es un antiguo protocolo de autenticación de Microsoft que ya ha sido reemplazado por Kerberos. No obstante, la noticia siembra algunas dudas en todas las organizaciones que dependan de Windows y Active Directory, ya que en algunos casos el protocolo de seguridad NTLM todavía se utiliza para almacenar contraseñas de Windows localmente o en el archivo NTDS.dit en los controladores de dominio de Active Directory.
De acuerdo con los responsables de HashCat, si tienes una contraseña de ocho caracteres totalmente aleatoria con mayúsculas, minúsculas, números y símbolos, la herramienta la descifrará -de promedio- en una hora y quince minutos. Si eliges un esquema común, como palabras o nombres con la primera letra en mayúscula y un número al final, la identificará instantáneamente.
De manera que sugieren que los usuarios deberían empezar a elegir passwords que contengan 12 o 15 caracteres. Muchos especialistas recomiendan crear una clave compuesta por grupos de palabras, idealmente sin conexión evidente entre ellas, o bien utilizar un gestor de contraseñas para crear la clave, y activar siempre la autenticación en dos pasos. Si te resulta complicado acordarte de todas tus claves, puedes probar con los administradores que ofrecen las herramientas profesionales antivirus, como el que se incluye en Panda Dome Premium.