Password cracking con John the Ripper

por David Abad 23 de abril de 2023

Escrito por David Abad 23 de abril de 2023

John the Ripper se considera una de las herramientas de cracking de contraseñas más eficaces disponibles para descifrar hashes mediante fuerza bruta y diccionarios.

En la mayoría de sistemas, a la hora de almacenar contraseñas o datos sensibles, no se suele almacenar su contenido en plano ya que podría ser muy peligroso en caso de robos de datos. Para aumentar la seguridad, se utilizan diferentes algoritmos de encriptación (o hashing) que permiten almacenar los datos codificados.

Estos algoritmos de encriptación se caracterizan por permitir codificar información de forma muy sencilla. Pero no existe un modo eficiente de llevar a cabo el proceso inverso para decodificar los datos. Gracias a esto, la información queda mucho más protegida, incluso en caso de posibles robos de datos.

John the Ripper

John the Ripper es una herramienta de cracking de contraseñas de código abierto lanzada en 1996.

Esta herramienta multi-plataforma tiene el objetivo de descifrar contraseñas codificadas con los principales algoritmos de hashing (DES, MD5, Blowfish, etc.) a través de fuerza bruta. Para ello, se utilizan diccionarios de contraseñas para probar diferentes combinaciones de palabras, letras, números y símbolos hasta que se encuentra la contraseña correcta.

Hay que destacar que, a pesar de que John the Ripper se ha convertido en la herramienta de cracking de contraseñas más efectiva, el éxito en la decodificación de contraseñas dependerá de la fortaleza de las contraseñas. Las contraseñas más complejas y seguras, que contienen una combinación de letras mayúsculas y minúsculas, números y símbolos, son mucho más difíciles de crackear.

Cómo utilizar John the Ripper

A continuación se detallan los pasos a dar para descifrar una contraseña a partir de su hash MD5 (5d41402abc4b2a76b9719d911017c592) utilizando John the Ripper en un sistema Debian:

1. Instalar John the Ripper

sudo apt-get install snapd
sudo snap install john-the-ripper

2. Incluir los hashes a descifrar en un fichero de texto:

echo "5d41402abc4b2a76b9719d911017c592" > password.txt

3. Lanzamos el proceso para crackear la contraseña mediante John the Ripper, indicando el algoritmo de cifrado:

john --format=raw-MD5 password.txt

Este proceso puede llevar más o menos tiempo dependiendo de la complejidad de la contraseña y de la potencia de nuestro equipo. Al finalizar, se mostrará el resultado obtenido con la contraseña descifrada:

Consideraciones de seguridad

Si eres administrador o desarrollador de un sistema, sitio web, etc. Es imprescindible tomar una serie de precauciones y medidas que aumentaran la seguridad de nuestros sistemas y sus usuarios:

Almacenar contraseñas cifradas con algoritmos seguros (p.ej. Bcrypt)
Implementar autenticación en dos pasos
Forzar el cambio de contraseña cada cierto tiempo
No permitir contraseñas débiles

David Abad

Mi nombre es David Abad. Soy un ingeniero informático de Zaragoza (España) y gran aficionado al desarrollo de software. Actualmente me dedico al análisis y desarrollo de numerosos proyectos de comercio electrónico en Magento.

Artículo anterior

Mi experiencia renovando las certificaciones Adobe Commerce

Artículo siguiente

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duración	Descripción
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_96XKRRH9JN	2 years	This cookie is installed by Google Analytics.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
tk_ai	5 years	JetPack sets this cookie to store a randomly-generated anonymous ID which is used only within the admin area and for general analytics tracking.
tk_lr	1 year	The tk_lr is a referral cookie set by the JetPack plugin on sites using WooCommerce, which analyzes referrer behaviour for Jetpack.
tk_or	5 years	The tk_or is a referral cookie set by the JetPack plugin on sites using WooCommerce, which analyzes referrer behaviour for Jetpack.
tk_qs	30 minutes	JetPack sets this cookie to store a randomly-generated anonymous ID which is used only within the admin area and for general analytics tracking.
tk_r3d	3 days	JetPack installs this cookie to collect internal metrics for user activity and in turn improve user experience.

Password cracking con John the Ripper

John the Ripper

Cómo utilizar John the Ripper

Consideraciones de seguridad

Mi experiencia renovando las certificaciones Adobe Commerce

Magento Model Generator: Generador de módulos online

Otros artículos