La firma de servicios de seguridad Trustwave lanzó un proyecto de código abierto dirigido a empresas que desean proporcionar el descifrado de contraseñas como un servicio a sus equipos de seguridad y equipos rojos, anunció hoy la empresa en la conferencia Black Hat Europe.
Usando la nueva plataforma CrackQ, las empresas pueden realizar verificaciones periódicas en sus propios sistemas o proporcionar a los equipos rojos un recurso para descifrar los hash de contraseñas tomados de los clientes durante un compromiso, proporcionando a las empresas métricas sobre la calidad de la contraseña y estadísticas sobre el uso de la herramienta. Escrita en Python y basada en el marco de aplicación world-wide-web Flask, la plataforma es extensible y ya incluye una biblioteca de gráficos para crear parcelas en el tablero, dice Dan Turner, consultor de seguridad principal de TrustLave SpiderLabs.
«El tablero realmente ayuda a visualizar las debilidades allí (en la selección de contraseña)», dice. «Un caso de uso viable es un equipo de seguridad que lo usa internamente para verificar las contraseñas, pero es principalmente para que los equipos ofensivos lo usen durante un enfrentamiento».
Debido a que son elegidos por los usuarios, las contraseñas siempre han sido un eslabón débil en la seguridad corporativa. Un estudio realizado por Virginia Tech, por ejemplo, encontró que poco más de la mitad de los usuarios reutilizaron contraseñas o utilizaron variantes de la misma contraseña. Según el estudio, el 56% de las contraseñas solo requirieron 10 conjeturas para descifrar.
Trustwave encuentra regularmente números similares. Más de la mitad de las contraseñas que los equipos rojos de la compañía han tomado de los controladores de dominio de Home windows generalmente pueden romperse con herramientas para descifrar contraseñas, como Hashcat, el programa que impulsa CrackQ, dice Turner. A menudo, la tasa de falla está más cerca del 70%.
Incluso con las mejores prácticas comunes, como hacer cumplir la complejidad de la contraseña y agotar los intentos de inicio de sesión, las contraseñas siguen siendo un eslabón débil en la seguridad del sistema.
«El problema es que todavía hay una gran cantidad de contraseñas inseguras dentro de las organizaciones, y solo se necesita una contraseña débil para que una crimson se vea comprometida», dice.
El cracker de contraseñas no necesita reinventarse, agrega Turner. En cambio, quería resolver el problema de descifrar contraseñas como equipo.
Creado como un sistema cliente-servidor con un entrance-finish de JavaScript y múltiples mecanismos de autenticación, CrackQ permite a los equipos acceder a un servidor de descifrado de contraseñas que ejecuta Hashcat y se basa en components acelerado por GPU. Debido a que la plataforma se basa en Python y el marco de aplicación world-wide-web Flask, el program puede ampliarse con mucha facilidad.
«Con solo hacer clic en un botón, CrackQ generará un informe de análisis de contraseña a partir de los resultados de un trabajo de descifrado de contraseña: un almacén de dominio de Windows Lively Listing. Por ejemplo,» Turner escribió en una publicación de web site sobre la herramienta. «Esto incluye información relacionada con los tiempos y la velocidad, pero las elecciones y patrones de contraseñas inseguros son cruciales dentro de una organización».
El computer software, por ejemplo, también analizará la possible nacionalidad de un usuario por las palabras utilizadas en su contraseña o si la frase de contraseña menciona ubicaciones geográficas específicas.
CrackQ también united states of america Hashcat Mind, una función que evita que el descifrador de contraseñas pruebe la misma contraseña varias veces, pero lo desactiva cuando se convierte en un cuello de botella, lo que puede ser para algoritmos más lentos.
La plataforma será útil para descifrar contraseñas en un contexto empresarial, ya que permite al equipo de seguridad la capacidad de crear fácilmente informes y detectar debilidades en la selección de contraseñas, dice Turner.
«Para nosotros, cada prueba de penetración con un compromiso significativo de almacenamiento de contraseña incluirá un informe detallado que analizará las áreas débiles en una política de contraseña», dice. «CrackQ ayudará a visualizar eso y quizás ayude a llevar a casa el mensaje sobre las malas opciones de contraseña».
Usuarios interesados y colaboradores puede descargar o clonar la herramienta en GitHub.
Contenido relacionado:
Revisa El borde, La nueva sección de Darkish Examining para características, datos de amenazas y perspectivas en profundidad. La historia principal de hoy: «Una causa que le interesa necesita su ayuda de ciberseguridad«.
Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Darkish Looking at, MIT's Technology Critique, Well-liked Science y Wired News. Cinco premios para el periodismo, incluyendo Mejor fecha límite … Ver biografía completa
Más ideas
