John the Ripper figura entre as ferramentas de auditoria de senhas mais utilizadas do mundo, capaz de quebrar centenas de formatos de hash por meio de técnicas de força bruta, dicionário e ataque incremental. O projeto, mantido pela comunidade open-source desde 1996, tornou-se referência obrigatória em testes de invasão e avaliações de hardening de credenciais em sistemas corporativos.

  • O quê: Ferramenta de password cracking offline que testa senhas a partir de hashes capturados.
  • Quem: Desenvolvido inicialmente por Solar Designer (Alexander Peslyak), hoje mantido por uma comunidade ativa e pela empresa Openwall.
  • Quando: Primeira versão lançada em 1996; desenvolvimento contínuo até o presente.
  • Onde: Disponível para Linux, macOS, Windows, BSD e distribuições como Kali Linux.
  • Por quê: Avaliar a resistência de senhas antes que atacantes o façam, fortalecendo políticas de credenciais.

O que é a ferramenta

O John the Ripper opera como um cracker de senhas offline: dado um arquivo contendo hashes criptográficos — sejam do /etc/shadow do Linux, de um banco de dados de uma aplicação web ou de um dump do Active Directory — a ferramenta tenta descobrir a senha original que gerou cada hash. Diferente de ataques online contra serviços de login, o cracking offline não dispara bloqueios, limites de tentativas ou alertas de segurança.

A versão gratuita (community edition) roda em linha de comandos e suporta mais de 300 formatos de hash nativamente. A versão comercial (John the Ripper Pro), vendida pela Openwall, adiciona suporte a formatos proprietários, otimizações para GPUs específicas e suporte técnico. O projeto distingue-se pela capacidade de auto-detectar o tipo de hash a partir do conteúdo fornecido, dispensando configuração manual na maioria dos casos. Para quem busca uma visão geral de ferramentas similares, a plataforma traz análises de outras soluções do segmento.

Funcionalidades principais

A arquitetura modular do John the Ripper sustenta quatro modos de ataque principais, cada um adequado a cenários distintos:

  • Modo wordlist: testa cada senha contida em um arquivo de dicionário. Eficiente contra senhas baseadas em palavras comuns, nomes e datas.
  • Modo incremental: executa força bruta inteligente, tentando combinações em ordem de probabilidade estatística. É o modo mais poderoso, porém mais lento.
  • Modo single crack: aproveita informações do próprio hash (como nome de usuário, GECOS) para gerar candidatos personalizados.
  • Modo externo: permite definir filtros e regras de geração de senhas usando uma linguagem própria baseada em C.

A ferramenta também suporta regras de mangling, que transformam cada palavra do dicionário em múltiplas variações (maiúsculas, números no final, substituição de letras por símbolos). Essa camada simula os padrões que humanos costumam adotar ao criar senhas “complexas”, como transformar “senha” em “S3nh@2024”. A paralelização é nativa: em máquinas multicore, o John distribui automaticamente o trabalho entre os núcleos disponíveis, e há suporte experimental para aceleração via GPU usando OpenCL e CUDA.

Casos de uso em auditoria

Pentest professionals utilizam o John the Ripper para demonstrar o risco de políticas de senhas fracas durante avaliações de segurança corporativa. Um cenário típico: o testador obtém acesso a um servidor de arquivos, extrai o arquivo de hashes das contas de usuário e submet esses hashes ao cracking. Em ambientes sem política de complexidade, a maioria das senhas é recuperada em minutos com uma wordlist básica.

Administradores de sistemas empregam a ferramenta de forma preventiva, rodando auditorias periódicas sobre os hashes das contas corporativas. Senhas quebradas rapidamente indicam usuários que precisam de orientação ou imposição forçada de senhas mais robustas. Para hashes de criptomoedas, arquivos protegidos por senha (ZIP, RAR, PDF, Office) e chaves privadas SSH, o John também oferece módulos específicos. A ferramenta aparece com frequência em relatórios de documentação da Openwall com benchmarks de desempenho por modelo de processador.

Mercado de password auditing

O mercado de ferramentas de auditoria de credenciais inclui nomes consolidados como Hashcat, que se destaca pelo desempenho em GPU, e Ophcrack, especializado em hashes LM e NTLM do Windows. Soluções comerciais como L0phtCrack e Cain and Abel dominaram o espaço nos anos 2000, mas perderam relevância diante do avanço das alternativas gratuitas. O John the Ripper mantém-se competitivo pela combinação de versatilidade, legado e suporte comunitário.

Segundo relatório da Verizon sobre violações de dados, mais de 80% das intrusões confirmadas envolvem credenciais roubadas, fracas ou reutilizadas. Esse dado sustenta a demanda por ferramentas de password auditing como parte essencial de programas de hardening corporativo. O crescimento da computação em GPU e o barateamento de placas como a RTX 4090 reduziram drasticamente o tempo necessário para quebrar hashes até mesmo de algoritmos considerados seguros há uma década.

Considerações de uso

O uso do John the Ripper exige responsabilidade técnica e legal. Executar a ferramenta contra hashes sem autorização do proprietário constitui crime em diversas jurisdições, incluindo o Brasil, onde a Lei 12.737/2012 (Lei Carolina Dieckmann) tipifica invasões a dispositivos. Pentesters devem obter escopo formalmente aprovado antes de coletar e processar hashes de clientes.

Do ponto de vista técnico, a eficácia do cracking depende menos da ferramenta e mais da qualidade das wordlists e regras aplicadas. Coleções como o RockYou, com 14 milhões de senhas vazadas em 2009, seguem sendo pontos de partida relevantes. Profissionais experientes combinam múltiplas listas, aplicam regras de mutação agressivas e utilizam masstags vazadas de incidentes recentes para manter as wordlists atualizadas. O John the Ripper entrega o motor; a estratégia cabe ao operador.