PDF de programación - Contraseñas en Windows XP

EN WINDOWS XP
EN WINDOWS XP
EN WINDOWS XP
EN WINDOWS XP

Ernesto Castelán Chávez

Sir_Lance

ADVERTENCIA


Este texto es puramente educativo y
de aprendizaje. El autor no se hace
responsable del mal uso que se le
pueda
información
proporcionada.


dar

a

la



Teoría

¿Qué es una contraseña?

En informática una contraseña es una clave que permite el acceso a algún
recurso y que brinda seguridad en las comunicaciones. La contraseña evita el
acceso de usuarios sin autorización y normalmente debe mantenerse en secreto
ante aquellos a quien no se les permite el acceso. En los sistemas informáticos
actuales cada contraseña está ligada a un único usuario por lo que la contraseña
puede ser cambiada o se puede negar el acceso a un usuario sin afectar a los
demás.

Historia de las contraseñas

El uso de contraseñas se remonta a la antigüedad pues el ser humano
siempre ha tenido la necesidad de mantener información importante en secreto y
asegurarse que quien la reciba sea quien debía recibirla. Centinelas que vigilaban
alguna locación, pedían el santo y seña al que quería pasar y solamente le
permitían el acceso a aquella persona que conociera la contraseña. Las claves y
contraseñas jugaron un papel muy importante en las guerras y campañas militares.
En la era moderna, las contraseñas son usadas para controlar el acceso a
sistemas operativos de computadoras, teléfonos celulares, decodificadores de TV
por cable, cajeros automáticos, etc.

¿Cómo funcionan las contraseñas?

A la hora de crear una cuenta de usuario o de restringir un recurso, se nos
pide teclear la contraseña por primera vez. Generalmente debemos introducirla
dos veces para evitar errores de tecleo. Una vez que hemos establecido la
contraseña, ésta es almacenada en un medio permanente como un archivo o una
base de datos en el disco duro.

Password:

*****
*****
*****
*****

Confirmar:

*****
*****
*****
*****


Anteriormente las contraseñas eran guardadas tal cual en algún archivo de
texto escondido en el sistema. Este método era sumamente inseguro ya que si
alguien averiguaba o encontraba dicho archivo, las contraseñas podían ser vistas
inmediatamente y el equipo así como la información sensible eran vulnerables.

Actualmente, antes de guardar una contraseña, el sistema le aplica una
serie de operaciones matemáticas para convertirla en información imposible de
interpretar a simple vista, es decir codifica o cifra la contraseña.


Pasemos a explicar los siguientes conceptos, pues son básicos para la

comprensión de lo que se explicará más adelante.
o Al hecho de cifrar o codificar la contraseña (o cualquier dato) se le llama

encriptar.

o El método, los pasos o el proceso interno que se sigue para cifrar la

contraseña se le conoce como algoritmo.

o El resultado de codificar la contraseña (es decir la contraseña ya cifrada) se

llama hash (en plural hashes)



Generalmente los algoritmos que se usan para cifrar contraseñas son
irreversibles, es decir que una vez encriptada la contraseña NO puede ser
desencriptada. De esta manera, si tenemos acceso al archivo donde se guardan
los hashes, no podemos “deshacer” el proceso para ver las contraseñas.

*****
*****
*****
*****

Contraseña


Pero si los hashes no se pueden “deshacer”, ¿Cómo sabe entonces el

Algoritmo

Hash

sistema que he introducido la clave correcta?

Cuando una contraseña es encriptada, el algoritmo usado generará un hash.
En teoría, el hash es único para cada contraseña por lo que la misma contraseña
siempre resultará en el mismo hash.


pepe
PEPE

password

Jabón
Jamón

926E27EECDBC7A18858B3798BA99BDDD
41E74C6D258C53D1336677F34DCA5C84
5F4DCC3B5AA765D61D8327DEB882CF99
FFB12D591858EDE312E0BA2A9FAF7322
6E5B2F2E74E718B5091BAD0FF4A7A85E



No importa que las contraseñas sean muy parecidas, el hash será
sustancialmente diferente, como podemos observar con “pepe - PEPE” y “jabón -
jamón”.

Una parte de la seguridad del sistema depende del algoritmo usado para
encriptar las contraseñas, pues hay algoritmos más seguros que otros. En este
ejemplo se usó un algoritmo llamado MD5.

Una vez que nuestra contraseña ya está almacenada en el sistema y
tratamos de acceder al recurso protegido, se nos pedirá confirmar nuestra
identidad por medio de la contraseña. Cuando la introducimos el sistema calculará
el hash y se comparará con el hash almacenado previamente. Si los hashes son
iguales se permite el acceso, en caso contrario se niega. Esto es más o menos lo
que haría nuestra computadora si iniciamos sesión y colocamos la contraseña
incorrecta:
*****
*****
*****
*****

luis

502FF82F7F1F8218DD41201FE4353687

926E27EECDBC7A18858B3798BA99BDDD

Acceso

Denegado



Pero si introducimos la contraseña correcta:

****
****
********

pepe

926E27EECDBC7A18858B3798BA99BDDD

926E27EECDBC7A18858B3798BA99BDDD

Acceso

Autorizado



¿Cómo averiguar una contraseña?

Si bien las contraseñas están pensadas para proteger datos y recursos, al
mismo tiempo son la parte más débil de cualquier sistema de seguridad puesto
que deben ser recordadas por humanos y los humanos no somos perfectos. Hay
muchas maneras de averiguar la contraseña de un usuario.

La debilidad de las contraseñas consiste en que los usuarios frecuentemente:

o Usamos la misma contraseña para varias cuentas
o Usamos las contraseñas que vienen por defecto (como “administrador” o

“1234”)

o Usamos contraseñas muy fáciles de adivinar (nuestro nombre, el nombre de la

novia, fechas de nacimiento y cumpleaños, etc…)

o Anotamos las contraseñas en lugares inseguros (en un papelito debajo del

teclado por ejemplo)



Las contraseñas pueden ser averiguadas de muchas maneras, explicaré unas

cuantas, que son bastante conocidas:
o

Ingeniería social: La forma más antigua y quizás la más efectiva. Consiste en
engañar o extorsionar al usuario para que él mismo proporcione la contraseña.
Por ejemplo haciéndonos pasar por el administrador y diciéndole “estamos
dando mantenimiento a todas las cuentas y encontramos un problema de
corrupción de datos en la suya, por favor sería tan amable de proporcionarnos
su contraseña para que lo arreglemos y pueda trabajar sin problemas”.
Funciona más seguido de lo que se pueden imaginar.

o Ataque de fuerza bruta: Consiste en obtener un hash y probar una a una
todas las posibles contraseñas. Imaginemos que tenemos un candado de esos
de bicicletas con una combinación de tres dígitos. Probaremos todas las
combinaciones, una a una, hasta que encontremos la correcta.

000
001
002
003
004
…
123



Pero las contraseñas informáticas pueden tener letras, números y símbolos, y
pueden contener un gran número de elementos que permiten infinidad de
combinaciones, por lo cual debemos establecer un límite de longitud y los
caracteres que queremos probar (por ejemplo intentar sólo con letras
minúsculas y números). Entre más caracteres y más longitud seleccionemos el
proceso será más tardado porque el número de combinaciones posibles crece
exponencialmente, a veces puede llegar a durar años. Pero si la contraseña es
corta y no contiene caracteres extraños el proceso puede acortarse
considerablemente. Es como si la clave del candado de la bicicleta fuera 001
sólo debemos hacer un intento antes de poder abrirlo.

o Ataque de diccionario: Es muy parecido al proceso anterior, excepto que en
vez de probar todas las contraseñas posibles, nos limitamos a unas cuantas
contraseñas comunes almacenadas en una
llamada “diccionario”.
Funciona con contraseñas sencillas y obvias, pero debido al número limitado
de contraseñas disponibles en un diccionario muchas veces falla. Algunos
programas permiten hacer alteraciones a cada palabra del diccionario como es
invertir la palabra, añadir mayúsculas, añadir un número al final, etc… lo cual
nos da más posibilidades de hallar la contraseña que buscamos.

lista

El problema de las contraseñas en Windows XP

Todos conocemos las cuentas de usuario de Windows XP, que nos
permiten tener nuestro escritorio y documentos separados del de los otros
usuarios. El problema de las contraseñas de usuario en Windows XP y versiones
anteriores es que por cada contraseña almacena dos hashes; uno generado por el
algoritmo LM y otro por el NTLM. Veamos como funciona si introducimos una
contraseña incorrecta:

*****
*****
*****
*****

luis

A7D81F33DF05CB65AAD3B435B51404EE
B6202951EB466F13AAD3B435B51404EE

7F6E252754F50FE3C6DF4C5D8239877B
C6243CD48B29A825CCD68E4053321A66

Acceso

Denegado

Y cómo funciona si introducimos la contraseña correcta:



****
****
********

pepe

B6202951EB466F13AAD3B435B51404EE
B6202951EB466F13AAD3B435B51404EE

C6243CD48B29A825CCD68E4053321A66
C6243CD48B29A825CCD68E4053321A66

Acceso

Autorizado


Es lógico pensar que si se comparan dos hashes en vez de uno, el sistema
debe ser por lo menos el doble de seguro, pero enseguida veremos que no es ni la
mitad de seguro, puesto que el algoritmo LM tiene muchas debilidades. Veamos
de manera general cual es su algoritmo:



1. El usuario introduce la contraseña
2. La contraseña se convierte a mayúsculas
3. La contraseña se corta a 14 caracteres
4. Se divide en dos partes de 7 caracteres
5. Se calcula el hash de cada parte de manera individual
6. Se unen los dos hashes



****************

MySecretPassword

MYSECRETPASSWORD

MYSECRETPASSWO

MYSECRE

TPASSWO

7B0662E4590E238A

3FC876B9133335DE

7B0662E4590E238A