Al comienzo de sus estudios para el examen de certificación CCNA, una de las primeras cosas que aprendió fue la diferencia principal entre “enable password” y “enable secret” – esto último permite el cifrado por defecto, mientras que en “enable password” la contraseña se guarda en un formato visible, esperando a ser leída!

Al observar el comando “enable secret” en la configuración de un router Cisco, pareciera que es posible adivinar la contraseña. Luego de usar la palabra “security” como contraseña “enable secret”, esto es lo que se verá en la configuración:

enable secret 5 $1$24me$gVFxUOI4gYp0IQbhtH8Rz0

La contraseña ha sido cifrada con MD5, el Algoritmo de Resumen de Mensaje 5 (Message Digest 5). El resultado de usar el algoritmo MD5 en la contraseña es un valor hexadecimal de 32 caracteres.

Esta contraseña es difícil de adivinar, pero no terriblemente difícil de romper. Alguien que mirase sobre su hombro no podría resolver la contraseña, pero existe software que puede descifrarla en cuestión de minutos. Esto es un hecho con cualquier contraseña de cifrado MD5, no sólo la de los routers Cisco.

Entonces, ¿qué podemos hacer? Podemos agregar SALT a nuestro MD5.

SALT en sí mismo es simplemente una cadena de caracteres al azar que se agrega al proceso de cifrado. El usar SALT hace mucho más difícil que un hacker descubra la contraseña; cada bit agregado por el proceso SALT hace que sea literalmente el doble de difícil que la contraseña sea comprometida. Una artículo reciente en Wikipedia indica que si una contraseña fuera de 200.000 palabras, un Salt de 32 bits requeriría un verdadero ataque por fuerza bruta de 800 trillones de intentos.

La creación y el uso reales de SALT se encuentra más allá del alcance del examen de Seguridad CCNA, pero una vez que usted haya obtenido esta valiosa certificación – o quizás mientras usted se esté preparando para ello – haga una búsqueda en Google por “salt md5” y lea sobre esta poderosa herramienta de seguridad. ¡Mientras tanto, busque más tutoriales para el Examen CCNA en este sitio y en mi website!

También se encuentran disponibles tutoriales gratis para el Security+ exam , asi como material y tutoriales para el Network+ certification exam

Posted in Redes  |  Comments: No Comments »

 Stumble it!     Bookmark it!     Digg it!    Menéame!    Fresqui     Suscríbase     Suscríbase