Hace relativamente poco, ha sido anunciado un nuevo servicio en la "nube" dirigido a auditores y "pentester" que necesiten comprobar y evaluar la seguridad de las "password" que protegen el acceso a redes inalámbricas WPA/WPA2.
 |
| Low Cost - Tarifa de Cloudcracker |
Este servicio, promete el acceso a una extensa base de datos (diccionario "wordlist") de hasta 300.000.000 palabras. Es decir, una lista con los password más utilizados (probables) en las redes inalámbricas. Al ser un servicio "anglosajón" se sobreentiende que la mayoría de las palabras serán en ingles lo que limitaría mucho la efectividad del servicio con las contraseñas en español.
¿Cómo funciona?
Cloudcracker es un servicio en la "nube" que ofrece una gran capacidad de computo para realizar ataques de fuerza bruta basado en diccionario de palabras y/o tablas hash preformateadas (rainbow tables). Este ataque ,a grandes rasgos ,consiste en comparar los "hash" capturados procedentes de la redes inalámbricas con los generados por las palabras que contiene el diccionario en su base de datos.
 |
| Interfaz para subir los datos. |
El servicio también esta disponible para comprobar y evaluar la seguridad de las contraseñas que se transmiten por red en entornos windows y/o utilizan el protocolo LM/NTLM. En la ayuda, se muestra exactamente el tipo de "archivo" y la forma que debe tener para que el sistema funcione correctamente.
 |
| Formato del "Hash" LM/NTLM - WPA/WPA2 |
¿Quiere eso decir que mi configuración WPA2+PSK es vulnerable?
No exactamente. Si la pregunta es ¿Se puede realizar un ataque de fuerza bruta por diccionario sobre una red configurada con WPA2+PSK (AES)? La respuesta es SI. No obstante, hay que recordar que la fuerza de un "cifrado" recae en la complejidad de la contraseña que lo protege.
En definitiva, habitualmente si se dispone de una contraseña robusta (compleja) con una longitud de al menos 12-14 carácteres, se podría concluir que "de momento" reventar la contraseña de acceso de tu red inalámbrica podría llevar años.
Si queréis saber cómo crear contraseñas robustas os recomiendo leer mi artículo: "More your password more secure" o bien utilizar los generadores de contraseñas desarrollados por redeszone.net (1) y (2).
Cloudcracker es una opción interesante, cuando para la evaluación de las seguridad de las contraseñas que requieran de gran capacidad de computo, siempre y cuando la política de privacidad y confidencialidad te lo permitan.
Fuente | Cloudcracker.com | Forbes.com
0 comentarios:
Publicar un comentario