Windows Password Cracker

A quebra de senhas Windows é uma habilidade crítica em testes de penetração e forense digital. Os sistemas operacionais Windows armazenam hashes de senha no banco de dados Security Account Manager (SAM), e quando esses hashes são extraídos durante uma avaliação de segurança, técnicas de quebra offline podem recuperar as senhas originais em texto claro. Compreender a quebra de hashes NTLM ajuda profissionais de segurança a avaliar políticas de senha e demonstrar os riscos de credenciais fracas em ambientes corporativos.

Como o Windows armazena senhas

Sistemas Windows modernos usam hashing NTLM (NT LAN Manager) para armazenar senhas. O hash NTLM é calculado como o digest MD4 da codificação UTF-16LE da senha - notavelmente, não usa sal, significando que senhas idênticas sempre produzem hashes idênticos em todos os sistemas. Esta fraqueza de design torna os hashes NTLM vulneráveis a ataques pré-computados como rainbow tables e ataques de dicionário altamente eficientes. O banco de dados SAM, localizado em C:\Windows\System32\config\SAM, armazena esses hashes e é normalmente bloqueado pelo sistema operacional enquanto o Windows está em execução.

Durante testes de penetração, hashes NTLM podem ser extraídos por vários métodos: boot a partir de mídia externa para acessar o arquivo SAM offline, uso de ferramentas como mimikatz para extrair hashes da memória, ataques DCSync contra controladores de domínio, ou extração de hashes de Volume Shadow Copies. O formato padrão de dump é username:RID:LM_hash:NTLM_hash:::, onde o hash NTLM no quarto campo é o alvo da quebra.

Quebrando hashes NTLM com Hashcat

Duas ferramentas principais dominam o cenário de quebra de senhas. Um tutorial de hashcat adequado cobre a quebra acelerada por GPU que alcança velocidades extraordinárias - GPUs modernas podem testar bilhões de candidatos NTLM por segundo. John the Ripper fornece uma alternativa versátil baseada em CPU com regras inteligentes de manipulação de wordlists. Ambas as ferramentas suportam ataques de dicionário com regras de mutação, ataques de força bruta contra senhas curtas, ataques de máscara para padrões de senha conhecidos, e abordagens híbridas combinando wordlists com adição de caracteres.

Defendendo-se contra quebra de senhas

Organizações podem se defender contra a quebra de NTLM impondo políticas de senhas fortes (mínimo de 12 caracteres, requisitos de complexidade), implementando políticas de bloqueio de conta, usando autenticação multifator e migrando para protocolos modernos como Kerberos com criptografia AES. Auditorias regulares de senhas usando as mesmas ferramentas de quebra ajudam a identificar senhas fracas antes que os atacantes o façam. A lição fundamental é que nenhum algoritmo de hash pode proteger uma senha fraca contra um atacante determinado com hardware moderno.