¿Cómo averiguar las claves de los clientes?

Imagen de Epe

Este es un como simple... pero ayuda. A veces nuestros clientes ponen claves muy muy débiles y estas son fácilmente descubiertas por gente que quiere hacerle daño al servidor y/o spammers que quieren una cuenta para autenticar y enviar su spam.

Esto del envío de spam a través de sistemas de autenticación es bien popular últimamente, y se irá haciendo más grave mientras la gente se da cuenta cómo hacer par que sus usuarios usen claves más fuertes.

Aunque existen algunos programas para captar claves de usuarios y evitar que pongan claves débiles, es común que los usuarios se las ingenien para poner una clave simple como usuario=clave, o similares.

La idea de este programa, john the ripper, es descubrir las claves de tus usuarios y presentártelas en un archivo.

Instalación:

Teniendo instalado el repo de rpmforge ejecutar:


yum install john

Para aprender sobre su uso puedes mirar dentro de:

less /usr/share/doc/john-*/EXAMPLES

ahi te dirá diversos usos, pero te daré una forma fácil (vamos, no es la completa pero ayudará)

primero unes /etc/passwd y /etc/shadow en un archivo para que john se lo trague:


umask 077
unshadow /etc/passwd /etc/shadow > mypasswd

de esta forma tendrás un archivo llamado mypasswd que contendrá la lista de usuarios a la antigua (usuario:clave:otrosdetalles)

Ahora ejecutas:


john mypasswd

realizará un chequeo básico (usuario=clave, clave=usuarioyunnumero, etc), después realizará otras revisiones.

El resultado lo guardará en tu directorio raiz, en .john/john.pot

Si quieres más palabras para mejorar la detección del john, puedes bajarlas de: http://www.openwall.com/wordlists/ se agregan a la configuración y se corre el john. No lo he usado todavía.

Si quieres solamente hacer un chequeo simple pones:

john --single mypasswd

Hará lo mismo que cuando john mypasswd excepto que sólo verificará claves simples y no las otras revisiones más complejas.. por supuesto es más rápido.

Para ver las claves sacadas pones:


john --show mypasswd

Para los que quieran evitar usuarios con claves fáciles prueben instalar el passwdqc

espero les ayude.