diccionario claves wpa, si alguna vez has realizado un ataque de fuerza bruta, sabrás que la clave del éxito cuando realizas un ataque de este tipo es la cantidad de claves que tengan tus diccionarios, que estén en el idioma del sistema objetivo y que incluyan palabras que se utilizan normalmente en ese país como “parcero”, “monito, ¿me regala una moneda?” y cosas por el estilo.

Les dejo un excelente listado de diccionarios recopilado por g0tmi1k, y varios diccionario claves wpa listos para ser utilizados en tu herramienta preferida para realizar fuerza bruta, que puede utilizarse tambien como diccionario claves wpa para decifrar claves WPA/WPA2:

• Diccionario claves wpa – The HateList (562 Mb)(Muchas XD)

Actualizado: sinver44 nos comparte un nuevo diccionario claves wpa con mas de 227 millones de palabras, que descomprimido ocupa 2gb y según el, pocas contraseñas se le han escapado, DarkXXT nos comparte otros diccionarios bastante buenos.

• Mega Diccionario 227.000.000++ (72.05mb) (descarga directa)
• Parent Directory
• 500-worst-passwords.txt
• carders.cc.txt
• faithwriters.txt
• myspace.txt
• notpasswords/
• openwall-3917k.txt.gz
• oracle-default-passwords.txt
• palabras_tecnicas.txt
• phpbb.txt
• rockyou-14344k.txt.gz
• twitter-banned.txt

Recuerda no utilizar una de las peores claves que puedes elegir y cambiar las contraseñas por defecto de tus dispositivos, no sea que tu clave se encuentre en este diccionario claves wpa

Si no usas los diccionario claves wpa para wireless, en este video puedes ver como usar estos diccionarios con por ejemplo hydra:

También puede interesarte...

• Diccionarios con Passwords de Sitios Expuestos
• RSMangler – Multiplica tus diccionarios para hacer BruteForce
• Las peores Contraseñas en Español
• Cambia tu clave maestra en LastPass
• Robando claves por XSS del Administrador de Contraseñas del Firefox
• ClaveHotmail.com cometiendo delitos desde el 2007
• Recupera tu Password de FileZilla
• Las Peores 500 Contraseñas de Todos los Tiempos

Las personas en su afán de hacer mas cómoda su navegación por Internet, tienden a utilizar contraseñas fáciles de recordar y utilizan la misma para los sitios que mas frecuentan; Este comportamiento es tan común que sin saberlo muchas personas utilizan la misma combinación de letras y números como su contraseña, varios factores influyen en esto, como lo son la disposición del teclado, el uso de nombres comunes, hobbies, etc…

A continuación les dejo una lista de las contraseñas mas utilizadas en español, si tu contraseña se encuentra en esta lista, por favor, cámbiala de inmediato, en la comunidad hemos proporcionado siempre información útil para maneja tus contraseñas fácilmente, herramientas para generar contraseñas seguras, e incluso aplicaciones que si no quieres utilizar una palabra clave, te permiten utilizar tu rostro como contraseña.

• 123456
• 12345
• 123456789
• 12345678
• 1234567
• 111111
• Nombres Propios (alejandra, alberto, alejandro, roberto, etc..)
• Contraseña
• Tequiero
• Típicos desde los 80′s (sexo,amor,dios,dinero, muchas veces se combinan con números para cumplir el mínimo de caracteres exigido)
• Nombre de la Pagina (si la clave es de facebook, la clave será facebook, lo mismo con gmail, hotmail, etc…)
• qwerty
• 000000
• Hobby (equipos de fútbol, artistas o grupos musicales, nombres de actores o películas, etc…)
• Cédula o números celular (son muy utilizados y dan sensación de seguridad, pero esta información se puede conseguir fácilmente)
• abc123
• tequiero
• estrella
• iloveyou
• 654321
• bonita
• mariposa
• america

Para complementar esta lista, puedes ver los peores passwords de todos los tiempos y seguir las recomendaciones de seguridad que te enlazamos al principio, también puedes testear la seguridad de tu contraseña con esta herramienta online de Microsoft o la de password.es que incluye un generador de contraseñas seguras.

También puede interesarte...

• Las Peores 500 Contraseñas de Todos los Tiempos
• Cambia tu clave maestra en LastPass
• “1234″ y “password” son las Contraseñas + Utilizadas en USA
• Robando claves por XSS del Administrador de Contraseñas del Firefox
• Como Recuperar Clave MySQL
• Diccionario claves WPA para Realizar Ataques de Fuerza Bruta
• Cómo funcionan y se crackean las claves en sistemas Windows
• Diccionarios con Passwords de Sitios Expuestos

Las contraseñas han sido por muchos años la medida de seguridad por excelencia para garantizar el acceso a las personas autorizadas de un sistema, pero no todas las implementaciones en los sistemas de acceso son realizadas correctamente, es el caso de los sistemas Microsoft Windows que en su afán de conservar la compatibilidad con versiones anteriores, permiten la utilización de cifrados inseguros para las claves que utilizamos en sistemas mas actuales.

El siguiente vídeo que me envía Omar Palomino, nos enseña claramente como funciona el sistema de contraseñas en Microsoft Windows, por qué no debemos usar contraseñas con menos de 14 caracteres y veremos varios métodos para crackear el sistema de claves en entornos Windows incluyendo el uso de Rainbow Tables.

Mas Información:
A la fuerza…. por fuerza bruta!!

También puede interesarte...

• Las peores Contraseñas en Español
• Cambia tu clave maestra en LastPass
• Nueva versión de Cain & Abel
• Ophcrack con soporte para Windows Vista
• Bruter – Herramienta Para Crackear Password por Fuerza Bruta de Forma Paralela en Windows
• Las peores contraseñas de este año
• Actualiza tu software con Secunia Personal Software Inspector
• Las Peores 500 Contraseñas de Todos los Tiempos

LastPass es uno de los mejores servicios para almacenar tus contraseñas en la nube y olvidarte de tener que recordar cada una de ellas, cuenta con multiples opciones que la diferencian de las demás alternativas, como su integración con multiples navegadores y dispositivos móviles, la posibilidad de utilizar claves desechables y la seguridad que nos ofrece su infraestructura.

Pero esta seguridad ofrecida se ha puesto en duda, después que desde su blog oficial anunciaran la detección de una anomalia en el trafico de su base de datos, por lo que esperando lo peor, nos advierten de cambiar nuestra contraseña maestra cuanto antes.

En la fuga de información es posible que se filtraran los correos electrónicos y los hash de las claves, por tanto la seguridad de la información almacenada en tu cuenta depende, en gran medida de la clave maestra que utilizaras para guardarla, si es una clave que se encuentre facilmente en un diccionario, cambiala inmediatamente, si por el contrario utilizaste una clave fuerte, puedes estar un poco mas tranquilo, pero igualmente es recomendable que cambies tu clave.

Aunque la medida adoptada por LastPass es un poco paranoica, me parece bastante acertado que avisaran a sus clientes sobre esta anomalia, previniendo así un daño mayor a sus clientes si una fuga de información fué llevada a cabo.

PD. En estos momentos el cambio de contraseña esta bastante saturado, por la cantidad de personas que lo están realizando al mismo tiempo, si tu clave es debil, te recomiendo que insistas hasta que puedas cambiarla, de lo contrario puedes esperar un poco mas hasta que el servicio se normalice.

Visita LastPass.com

Mas Información:
LastPass Security Notification

También puede interesarte...

• Las peores Contraseñas en Español
• Robando claves por XSS del Administrador de Contraseñas del Firefox
• Las Peores 500 Contraseñas de Todos los Tiempos
• “1234″ y “password” son las Contraseñas + Utilizadas en USA
• ClaveHotmail.com cometiendo delitos desde el 2007
• Diccionario claves WPA para Realizar Ataques de Fuerza Bruta
• Cómo funcionan y se crackean las claves en sistemas Windows
• Recupera tu Password de FileZilla

Los diccionarios de passwords, esos archivos que tanto usamos en nuestros ataques de fuerza bruta, con la esperanza de encontrar en su interior una combinación de letras, que formen la contraseña de algún usuario en un servicio que estemos auditando, son de gran ayuda e indispensables en la caja de herramientas de  cualquier auditor; Podemos encontrar listas de passwords con nombres comunes, nombres de famosos, de películas, de ciudades, con los passwords mas utilizados, e incluso crear o extrapolar nuevos… pero hoy traigo otro tipo de passwords, passwords de sitios cuyas bases de datos han sido expuestas en la red.

En esta tabla podemos encontrar sitios tan populares como MySpace, Facebook, Carders.cc, Hack5, los cuales han sufrido ataques en sus servidores y los datos de sus usuarios quedaron expuestos…

También les puede interesar el listado de Diccionarios para Realizar Ataques de Fuerza Bruta publicado hace poco en la comunidad.

También puede interesarte...

• Diccionario claves WPA para Realizar Ataques de Fuerza Bruta
• RSMangler – Multiplica tus diccionarios para hacer BruteForce
• Las peores Contraseñas en Español
• Cambia tu clave maestra en LastPass
• Robando claves por XSS del Administrador de Contraseñas del Firefox
• CeWL – Generador de Diccionarios Personalizados
• ClaveHotmail.com cometiendo delitos desde el 2007
• Recupera tu Password de FileZilla

Si para ti no es suficiente el Listado de Diccionarios para Realizar Ataques de Fuerza Bruta que publicamos hace poco o quieres realizar tu propio diccionario basandote en algunas palabras claves especificas, RSMangler es para ti.

RSMangler es un script desarrollado en Ruby por la compañía de seguridad RandomStorm (los mismos creadores del DVWA – Damn Vulnerable Web App), que tomando como base una lista de palabras y realizando sobre cada una varias manipulaciones logra obtener un diccionario mucho mas completo que el original, para utilizarlo en nuestras herramientas.

Supongamos que estamos realizando un pentest a una pagina web y queremos entrar a su servidor FTP por medio de fuerza bruta (usando los diccionarios que ya hemos publicado), después de mucho tiempo, nuestra herramienta termina de probar todas las combinaciones, pero no da con la clave… ¿que hacemos?, ¿un ataque de fuerza bruta puro (a aa aaa ….)?. NO.

Afortunadamente nos acordamos de dos herramientas publicadas en la pagina de La Comunidad DragonJAR, la primera llamada CeWL, nos permite generar un listado de contraseñas basado en las palabras que encuentra dentro de una pagina web y la segunda RSMangler que toma este diccionario generado y le aumenta aun mas su poder combinando cada palabra a nuestro gusto.

El resultado es que logramos acceder al FTP de la pagina que auditábamos, la cual escribía sobre mascotas y su clave era “PeRrOs123GatoS“….

Para hacernos a una idea de los resultados que obtendremos al generar con RSMangler todas las posibles combinaciones de nuestros diccionarios, hagamos la prueba con 3 palabras, corremos RSMangler sobre ellas (con todas las posibles modificaciones) y obtendremos 4245 palabras, si las palabras son 5, el resultado serán 91975 palabras, por esta razón este script no puede faltar en tu caja de herramientas, ya que permite multiplicar en cualquier momento tu lista de diccionarios para utilizarlos en un ataque de fuerza bruta.

También puede interesarte...

• Diccionario claves WPA para Realizar Ataques de Fuerza Bruta
• Diccionarios con Passwords de Sitios Expuestos
• Las peores Contraseñas en Español
• Cambia tu clave maestra en LastPass
• Robando claves por XSS del Administrador de Contraseñas del Firefox
• ClaveHotmail.com cometiendo delitos desde el 2007
• Recupera tu Password de FileZilla
• Las Peores 500 Contraseñas de Todos los Tiempos

El problema se encuentra en que el administrador de contraseñas del Mozilla Firefox , no valida adecuadamente el formulario desde el cual se guarda la clave en el administrador de contraseñas, por lo tanto si a la pagina donde se encuentra el formulario de logueo se le puede realizar un XSS es posible agregar un formulario con un campo oculto del tipo “password” y al acceder a ella, firefox no solo llenara el formulario real de acceso automáticamente, sino también el formulario oculto que acabamos de inyectar.

Si le echamos un vistoso al formulario utilizando el plugin Web Developer para el Mozilla Firefox, encontramos que efectivamente el Administrador de Contraseñas, nos llenó el formulario oculto que colocamos en la pagina mediante XSS con nuestra clave de acceso:

El código utilizado para robar la información del Administrador de contraseñas en el Mozilla Firefox:

<script> document.write('<form><input id=p type=password style=visibility:hidden></form>'); setTimeout('alert("Password: " + document.getElementById("p").value)', 100); </script>

Podemos modificar el formulario para que nos envié la contraseña capturada a un archivo en el que puede ser almacenada o enviada por correo electrónico, pero en esta prueba de concepto no lo realizaremos.

En este caso contar con “clave maestra” en el administrador de contraseñas del Mozilla Firefox no supone una “barrera” para que obtengan nuestras claves, ya que una vez ingresada la clave maestra, el Firefox llenara de todas formas el formulario con nuestra clave.

Aunque posiblemente una técnica similar pueda funcionar en otros navegadores, he realizado pruebas en Google Chrome, Safari y Opera siendo el Mozilla Firefox el único afectado.

Actualización:
Un fallo similar fue reportado en el 2006 y supuestamente fue resuelto “VERIFIED FIXED”, pero acabo de probar con la prueba de concepto que publicaron en esa ocasión y sigue siendo vulnerable.

Recomendaciones:

• Escribe “about:config” en la barra del Firefox para desactivar (poner en “false”) la función signon.autofillForms



Con esto deshabilitas la función de auto llenado del administrador de contraseñas y evitarnos ser victimas de este fallo.

• Utilizar el plugin NoScript (si no hay inyección de código, no hay problema)
• No utilizar el Administrador de Contraseñas de Mozilla Firefox (ya hemos demostrado que no es recomendable, ni en firefox, ni en ningún navegador), en vez de el utilizar servicios gratuitos como LastPass (al que por cierto le debo un articulo entero)

Mas Información:
XSS demo for stealing passwords from the Firefox password manager

También puede interesarte...

• Cambia tu clave maestra en LastPass
• ¿Cómo Recuperar una Cuenta de Twitter?
• ¿Cómo Recuperar una Cuenta de Facebook?
• Las peores Contraseñas en Español
• ClaveHotmail.com cometiendo delitos desde el 2007
• Diccionario claves WPA para Realizar Ataques de Fuerza Bruta
• Recupera tu Password de FileZilla
• Diccionarios con Passwords de Sitios Expuestos

Según voceros de la compañía trabaja 25 veces mas rápido que los procesadores mas modernos del mercado fabricados por AMD o Intel, además afirman que las GPUs existentes en las tarjetas de vídeo mas modernas son mucho mas eficientes que los CPUs tradicionales.

Para hacernos una idea de cuan poderosas son estas GPUs Elcomsoft había crackeado passwords como los de Windows Vista en 3 días con un sistema similar a este pero usando una tarjeta de 150 menos poderosa que la GeForce 8800. Realizar el mismo trabajo con un CPU Intel o AMD requería más de un mes de proceso.

Mas Información:
Anuncio Oficial de la Empresa (PDF)
NeoTeo

También puede interesarte...

• Las peores Contraseñas en Español
• Cómo funcionan y se crackean las claves en sistemas Windows
• Cambia tu clave maestra en LastPass
• Diccionarios con Passwords de Sitios Expuestos
• Robando claves por XSS del Administrador de Contraseñas del Firefox
• CeWL – Generador de Diccionarios Personalizados
• Cómo recuperar una clave en MD5
• Bruter – Herramienta Para Crackear Password por Fuerza Bruta de Forma Paralela en Windows