No link abaixo mostro como descobrir as senhas dos usuários em um servidor Linux:

Objetivo

Avaliar o nível de segurança das senhas da rede por meio de um ataque prático a hashes. Ferramentas e procedimento

Ferramenta usada: John the Ripper (instalação via apt).

Arquivo alvo: /etc/shadow (contém os hashes das senhas do sistema).

Comando demonstrado: leitura do /etc/shadow e execução do John apontando o arquivo (ex.: sudo john /etc/shadow --format=crypt).

Observação: dependendo da força da senha, a quebra pode levar de imediato até anos/milhões de anos.

Resultado prático

Em ~6 horas de execução numa máquina virtual simples, apenas duas senhas fracas foram quebradas (senhas com números sequenciais).

Evidências e análise de desempenho (exemplos mostrados)

Tabelas de referência com tempos de quebra usando GPUs (ex.: RTX 2080 e RTX 3090): Senhas numéricas curtas (4 dígitos) são quebradas instantaneamente.

Senhas só com letras minúsculas: 11 caracteres → ordem de dias; 12 -> semanas; 13 -> ~1 ano; 14 -> décadas; 18 -> milhões de anos.

Senhas com maiúsculas+minúsculas: aumentar muito o tempo (ex.: 11 caracteres -> anos; 18 -> trilhões de anos).

Incluir números, maiúsculas, minúsculas e símbolos aumenta exponencialmente a resistência. Uso de múltiplas GPUs (ex.: 8× RTX 3090) reduz muito os tempos de quebra - GPUs poderosas e em quantidade tornam ataques viáveis para senhas mais curtas/com menos entropia.

Algoritmos/hashes (ex.: MD5) e capacidade de processamento importam no tempo de quebra. Risco de vazamento de senhas

Se os hashes/senhas vazarem, a proteção baseada apenas em comprimento/complexidade pode ser anulada: ferramentas como Hashcat (demonstrado) conseguem explorar bancos de senhas vazadas e acelerar a identificação.

Demonstração com verificador de senhas em vazamentos (serviço público/empresa de segurança): senhas comuns foram encontradas centenas, milhares ou dezenas de milhões de vezes em vazamentos (ex.: "Vasco" ~6.645 vezes; "Flamengo" ~36.183 vezes; "123456" ~37.509.543 vezes). Recomendações principais

Use senhas longas (preferencialmente 12+ caracteres) e com mistura de maiúsculas, minúsculas, números e símbolos.

Prefira senhas únicas por serviço e gerenciadores de senhas para criar/armazenar credenciais fortes.

Troque senhas periodicamente e imediatamente após notificações de vazamentos. Verifique se sua senha foi comprometida em serviços de consulta a vazamentos (Have I Been Pwned / ferramentas de grandes empresas de segurança).

Proteja hashes com algoritmos/iters mais resistentes (bcrypt/scrypt/Argon2) em vez de MD5/algoritmos fracos.

Conclusão

Senhas fracas são rapidamente comprometidas mesmo em hardware modesto. A combinação de comprimento, complexidade, uso de gerenciador e vigilância contra vazamentos é essencial para segurança real.