Como quebrar senha usando john the ripper
Dica publicada em Linux / Redes
Como quebrar senha usando john the ripper
No link abaixo mostro como descobrir as senhas dos usuários em um servidor Linux:
Ferramenta usada:
Arquivo alvo:
Comando demonstrado: leitura do
Observação: dependendo da força da senha, a quebra pode levar de imediato até anos/milhões de anos.
Senhas só com letras minúsculas: 11 caracteres → ordem de dias; 12 -> semanas; 13 -> ~1 ano; 14 -> décadas; 18 -> milhões de anos.
Senhas com maiúsculas+minúsculas: aumentar muito o tempo (ex.: 11 caracteres -> anos; 18 -> trilhões de anos).
Incluir números, maiúsculas, minúsculas e símbolos aumenta exponencialmente a resistência. Uso de múltiplas GPUs (ex.: 8× RTX 3090) reduz muito os tempos de quebra - GPUs poderosas e em quantidade tornam ataques viáveis para senhas mais curtas/com menos entropia.
Algoritmos/hashes (ex.: MD5) e capacidade de processamento importam no tempo de quebra. Risco de vazamento de senhas
Se os hashes/senhas vazarem, a proteção baseada apenas em comprimento/complexidade pode ser anulada: ferramentas como Hashcat (demonstrado) conseguem explorar bancos de senhas vazadas e acelerar a identificação.
Demonstração com verificador de senhas em vazamentos (serviço público/empresa de segurança): senhas comuns foram encontradas centenas, milhares ou dezenas de milhões de vezes em vazamentos (ex.: "Vasco" ~6.645 vezes; "Flamengo" ~36.183 vezes; "123456" ~37.509.543 vezes). Recomendações principais
Use senhas longas (preferencialmente 12+ caracteres) e com mistura de maiúsculas, minúsculas, números e símbolos.
Prefira senhas únicas por serviço e gerenciadores de senhas para criar/armazenar credenciais fortes.
Troque senhas periodicamente e imediatamente após notificações de vazamentos. Verifique se sua senha foi comprometida em serviços de consulta a vazamentos (Have I Been Pwned / ferramentas de grandes empresas de segurança).
Proteja hashes com algoritmos/iters mais resistentes (bcrypt/scrypt/Argon2) em vez de MD5/algoritmos fracos.
Objetivo
Avaliar o nível de segurança das senhas da rede por meio de um ataque prático a hashes. Ferramentas e procedimentoFerramenta usada:
John the Ripper (instalação via apt).
Arquivo alvo:
/etc/shadow (contém os hashes das senhas do sistema).
Comando demonstrado: leitura do
/etc/shadow e execução do John apontando o arquivo (ex.: sudo john /etc/shadow --format=crypt).
Observação: dependendo da força da senha, a quebra pode levar de imediato até anos/milhões de anos.
Resultado prático
Em ~6 horas de execução numa máquina virtual simples, apenas duas senhas fracas foram quebradas (senhas com números sequenciais).Evidências e análise de desempenho (exemplos mostrados)
Tabelas de referência com tempos de quebra usando GPUs (ex.: RTX 2080 e RTX 3090): Senhas numéricas curtas (4 dígitos) são quebradas instantaneamente.Senhas só com letras minúsculas: 11 caracteres → ordem de dias; 12 -> semanas; 13 -> ~1 ano; 14 -> décadas; 18 -> milhões de anos.
Senhas com maiúsculas+minúsculas: aumentar muito o tempo (ex.: 11 caracteres -> anos; 18 -> trilhões de anos).
Incluir números, maiúsculas, minúsculas e símbolos aumenta exponencialmente a resistência. Uso de múltiplas GPUs (ex.: 8× RTX 3090) reduz muito os tempos de quebra - GPUs poderosas e em quantidade tornam ataques viáveis para senhas mais curtas/com menos entropia.
Algoritmos/hashes (ex.: MD5) e capacidade de processamento importam no tempo de quebra. Risco de vazamento de senhas
Se os hashes/senhas vazarem, a proteção baseada apenas em comprimento/complexidade pode ser anulada: ferramentas como Hashcat (demonstrado) conseguem explorar bancos de senhas vazadas e acelerar a identificação.
Demonstração com verificador de senhas em vazamentos (serviço público/empresa de segurança): senhas comuns foram encontradas centenas, milhares ou dezenas de milhões de vezes em vazamentos (ex.: "Vasco" ~6.645 vezes; "Flamengo" ~36.183 vezes; "123456" ~37.509.543 vezes). Recomendações principais
Use senhas longas (preferencialmente 12+ caracteres) e com mistura de maiúsculas, minúsculas, números e símbolos.
Prefira senhas únicas por serviço e gerenciadores de senhas para criar/armazenar credenciais fortes.
Troque senhas periodicamente e imediatamente após notificações de vazamentos. Verifique se sua senha foi comprometida em serviços de consulta a vazamentos (Have I Been Pwned / ferramentas de grandes empresas de segurança).
Proteja hashes com algoritmos/iters mais resistentes (bcrypt/scrypt/Argon2) em vez de MD5/algoritmos fracos.