24 mar. 2014

Blackhash: audita passwords sin hashes

Imagina que necesitas realizar una auditoría de las contraseñas de tu sistema y tienes que facilitar los hashes a un equipo auditor externo. Este equipo debe determinar que usuarios están usando contraseñas débiles y normalmente lo hace mediante ataques de diccionario con herramientas de cracking como John the Ripper o Hashcat.

Pero, ¿te tienes que fiar completamente del equipo auditor? ¿y si pierden los hashes o los copian y distribuyen sin tu consentimiento?

Ya no es necesario que seas tan confiado, con la herramienta Blackhash es posible aplicar un filtro Bloom a los hashes de las contraseñas de tal manera que el auditor sólo recibirá una ristra de unos y ceros.

e14a04e980097ede599cac94358e1028 -> 00000100000001000100001

Y ahora seguro que te estarás preguntando qué demonios es un filtro Bloom... pues se trata de una estructura de datos probabilística creada en 1970 por Burton Howard Bloom que básicamente calcula el hash de la contraseña con varias funciones para obtener un vector de bits. Luego por cada palabra del diccionario se vuelven a calcular las mismas funciones hash y se compara el vector de bits: si no coincide definitivamente no es la contraseña, si coincide PUEDE que sea.

Sitio web: http://16s.us/software/Blackhash/blackhash.txt
Código fuente: Blackhash_0.2.tar.gz
Ejecutable Windows: bh.exe

Contenido completo en fuente original Hack Players

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!