Estaba viendo La chica con el tatuaje del dragón , y esta hacker era muy buena para hackear. Mi pregunta es, ¿cómo es posible para ella descifrar contraseñas además del enfoque de fuerza bruta? No puedo pensar en nada más que eso. Y si ese es el caso, entonces ¿por qué las películas hacen que los hackers sean genios, si no hay alguna forma de hacerlo?
Primero, las películas no son realistas en este sentido . No es diferente del "realismo" de acercar las cámaras de seguridad y limpiar las imágenes. Simplemente no es realista, pero es un buen entretenimiento y ayuda con el avance de la trama.
Sin embargo, dicho esto, hay muchas personas con fácil -para-adivinar contraseñas . Conozco a mucha gente inteligente que no se molesta con las buenas contraseñas, no las cambia con frecuencia, etc. La inteligencia no es un impedimento para la mala gestión de las contraseñas y, por lo tanto, los súper villanos y los malvados tienen más probabilidades de ser fáciles -para adivinar contraseñas.
Si intentara abrir una cuenta sin fuerza bruta, comenzaría con las contraseñas básicas fáciles de adivinar y contaría con la estupidez de las personas a las que estoy tratando de piratear. O recurriría a la ingeniería social. "Soy de la mesa de ayuda y necesito deshacerme de un virus en tu PC. ¿Puedes darme tu nombre de usuario y contraseña para poder iniciar sesión y hacerlo?" (Se sorprendería de cuánta gente se enamora de esto).
Una forma fácil de inducir la "suspensión voluntaria de la incredulidad" por el craqueo de contraseñas en las películas, tiendo a favorecer el escenario de "contraseña débil" ya que es el más realista.
Casi todas las técnicas de piratería en el Tatuaje de la chica con el dragón son reales y se usan regularmente no solo por los malos, sino también por el cumplimiento de la ley, equipos de pruebas de penetración y auditores de seguridad. (advertencia: leí el libro y vi la película original ... es posible que hayan cambiado todo)
Claro, Hollywood los dramatiza, pero en este caso, no por mucho. He manejado equipos de personas que pueden hacer las cosas que se muestran en esta película, y en mi oscuro y lejano pasado, hice algunas de ellas yo mismo.
Con respecto a las transmisiones de video de cámaras CCTV, ahora hay algunas compañías con sistemas que extraen información de múltiples cuadros para interpolar / extrapolar imágenes de alta calidad. Pero no, no puede girar la vista para que mire en dirección opuesta a la que estaba mirando la cámara (Enemigo del Estado). Y no puede hacer zoom y realizar una panorámica indefinida (Blade Runner)
En casi todos los paradigmas de seguridad informática, el eslabón más débil es la parte humana. Algunos algoritmos de seguridad son simplemente malos, lo que ayuda a los piratas informáticos. La ingeniería social y la estupidez hacen mucho para que los hackers se vean realmente bien antes de que también se requiera la suspensión de la incredulidad.
Aquí hay una calculadora interesante que le da una idea aproximada de los diferentes escenarios de poder de cómputo y cuánto tiempo tomaría un ataque de fuerza bruta.
Usando una contraseña como "power" obtienes un resultado de menos de una millonésima de segundo con una gran variedad de computadoras diseñadas para la fuerza bruta y un marco de tiempo de ataque en línea en el peor de los casos de menos de 4 horas. Por otro lado, una contraseña como "1We ^ gold" ofrece un tiempo de ataque simulado de 1.12 minutos con la misma superordenadora, pero más de dos mil siglos utilizando un ataque basado en un diccionario en línea.
Todo lo que hay que decir, por un lado, CUALQUIER contraseña que no bloquee las conjeturas puede ser impuesta por la fuerza bruta en una línea de tiempo lo suficientemente larga o con suficiente poder de cómputo. La pregunta de Hollywood se vuelve entonces: ¿es más fácil convencer a la audiencia de que la contraseña era débil o que el pirata informático tiene acceso a una matriz de supercomputación? La segunda opción sería agradable para un cambio, pero generalmente el problema se ignora o se explica por la debilidad del objetivo.
Una variación de los ataques de tipo fuerza bruta (diccionario) en los hash de contraseña de destino en las bases de datos. Un método (posiblemente plausible) aludido aquí con bases de datos y contraseñas es un Rainbow Attack .
El uso de un conjunto de hashes precalculados con un sal pobre y un esquema de hash rápido / débil (como MD5) que coincide con el esquema de hashing en la base de datos de contraseñas puede dar lugar a un conjunto de coincidencias con bastante rapidez sin tener que usar superdeportivos recursos informáticos.
Lea otras preguntas en las etiquetas passwords