Senhas são a parte mais fraca de qualquer sistema de segurança, pois pessoas que não conhecem os riscos causados por senhas fracas são responsáveis por criar tais senhas. Auditar as senhas que seus usuários utilizam para acessar os servidores é necessário para se garantir o mínimo de segurança nesse quesito. Com uma ferramenta como o John The Ripper, isso fica muito fácil.
O John The Ripper é um software livre que consegue identificar automaticamente qual é o algoritmo de criptografia que foi utilizado para cifrar as senhas presentes no arquivo que você indicou para ele. Ele também possui uma versão paga, porém a versão livre não deixa nada a desejar. Neste artigo focaremos na sua versão livre.
Ele é multiplataforma, podendo ser executado em vários sistemas Unix-like, Windows, DOS, BeOS e OpenVMS. É desenvolvido pelo pessoal do projeto OpenWall, que além do JtR possuem vários outros ótimos softwares e até uma distribuição Linux, a OpenWall GNU/Linux (ou Owl). O site do projeto é www.openwall.com/.
Possui vários módulos que aumentam sua funcionalidade, o que eu gostei mais foi um módulo que se integra ao PAM e faz uma monitoração pró-ativa das senhas do sistema, impedindo que usuários utilizem senhas fracas, o que facilita a vida do atacante. Este módulo também oferece suporte a passphrases (que são frases ao invés de palavras sendo utilizadas como senha) e também pode gerar senhas, se integrando totalmente com o passwd.
Além deste módulo, também foi desenvolvido um patch para o JtR para que ele se utilize de vários processadores em uma mesma máquina ou consiga utilizar um cluster de máquinas para conseguir quebrar as senhas. O nome do patch é MPI pode ser encontrado em www.bindshell.net/tools/johntheripper.
[1] Comentário enviado por y2h4ck em 13/06/2007 - 08:36h
"Definir um tamanho mínimo de senhas de 8 ou 10 caracteres;" Isto é bem relativo, dependendo principalmente do algoritmo utilizado.
Existem métodos para se quebrar senhas de usuários windows no padrão NTLMv1, inclusive comerciais, que conseguem quebrar uma senha de até 15 caracteres em no máximo 10 minutos.
[5] Comentário enviado por acollucci em 13/06/2007 - 17:52h
Otimo artigo. Agora quanto ao comentario do y2h4ck, sim existem metodos para se quebrar senhas fortes, porem senhas fortes dificultam ataques do tipo wordlists, ou de engenharia social.
[13] Comentário enviado por elgio em 30/01/2009 - 10:50h
A leitura do teu artigo sobre VPN hoje me fez olhar os demais artigos que escreveste. Muito interessante, a gente meio que se interessa pelos mesmos assuntos ;-)
Sobre senhas, reforço o que meu amigo Anderson (y2h4ck: depois de alguns mal entendidos com ele, ambos concordamos em nos tratarmos como amigo! :-D hehehe Forte abraço): para senhas lmpasswd nenhuma senha (NENHUMA NENHUMA) é segura. De nada adianta colocar 14 cars de senha no lmpasswd (e é o máximo que ele aceita. Mais que isto é truncado), pois ele divide a tua senha em duas partes de 7, logo uma força bruta é sobre 7 cars. John the Ripper sempre conseguirá quebrar as senhas e creio que em questão de horas com os processadores domésticos de hoje.
Ntpasswd é melhor pois usa o MD4 e não tem os vícios do LM, mas a falta de salt numbers torna ele também não confiável pois perece ao ataque de Rainbow Tables (muito embora uma tabela de RB completa até 8 cars custe $499 e tem o tamanho de 52G - http://ophcrack.sourceforge.net/tables.php ). A princípio senhas maiores que 9 caracteres para o NTpasswd são seguros pois parece (PARECE) que ninguém ainda conseguiu compilar uma Rainbow tables para tantos cars.
No Linux porém, que usa MD5 com salt numbers, qualquer senha maior do que SEIS cars torna INVIÁVEl o força bruta (cuidado, estou falando de força bruta, não de outros ataques. Mesmo que tu use 15 cars de senha ela será estúpida se for apenas números, como este artigo explica).
A presença de salt numbers torna inviável a técnica de Rainbow tables.