O Ophcrack, desenvolvido na École Polytechnique Fédérale de Lausanne (EPFL) na Suíça, é o crackers de passwords mais eficiente do mundo para hashes LM e NTLM do Windows. Utilizando rainbow tables pré-computadas, a ferramenta recupera passwords de contas Windows em segundos — sem brute-force, sem dicionário, sem necessidade de força computacional em tempo real. Lançado em 2006, o projeto continua ativo e é referência académica no estudo de criptoanálise.

  • Cracker de hashes LM/NTLM desenvolvido na EPFL (Suíça)
  • Recupera passwords Windows em segundos usando rainbow tables
  • Versão gratuita com rainbow tables de 99,9% de taxa de sucesso
  • Live CD bootável que extrai e quebra hashes automaticamente
  • Multiplataforma: Windows, Linux e macOS

O que é o Ophcrack

O Ophcrack foi criado em 2006 por uma equipa de investigadores do Laboratório de Segurança e Criptografia da EPFL, liderada por Philippe Oechslin. O projeto originou-se da tese de doutoramento de Oechslin, publicada em 2003, que demonstrou o conceito de time-memory tradeoff aplicado à quebra de funções de hash. A inovação central — rainbow tables — reduz dramaticamente o tempo de recuperação de passwords ao trocar computação em tempo real por tabelas pré-calculadas.

O código-fonte está disponível no site oficial do projeto sob licença GPL. A ferramenta é distribuída em três formatos: instalador para Windows, pacote para Linux/macOS e um Live CD baseado em Slax que arranca diretamente a partir do CD, extrai os hashes do sistema Windows e procede à recuperação sem necessidade de instalar software no alvo.

O conceito de rainbow tables e a eficiência do Ophcrack influenciaram profundamente as práticas de segurança de sistemas Windows, conforme analisado em discussões sobre ferramentas de cibersegurança open-source. A Microsoft removeu o suporte ao protocolo LM no Windows Vista (2006) em resposta direta à vulnerabilidade demonstrada por esta classe de ferramentas.

Como funcionam as rainbow tables

Uma rainbow table é uma estrutura de dados pré-computada que armazena cadeias de hashes interrompidas por funções de redução. Cada cadeia começa com uma password candidata, aplica a função de hash e uma função de redução repetidamente, armazenando apenas o ponto inicial e final. Esta compressão permite representar milhares de milhões de passwords em tabelas de alguns gigabytes.

Para quebrar um hash específico, o Ophcrack aplica a função de redução ao hash-alvo e verifica se o resultado corresponde a algum ponto final de uma cadeia na tabela. Se houver correspondência, a ferramenta reconstitui a cadeia a partir do ponto inicial até encontrar a password original. Este processo leva frações de segundo por hash, em contraste com o brute-force tradicional que pode levar dias ou semanas.

Tabelas disponíveis: o projeto oferece rainbow tables gratuitas para hashes LM (tabelas de 880 MB com taxa de sucesso de 99,9%) e NTLM (tabelas de 6,6 GB a 28,4 GB, com taxas de sucesso de 56% a 99%). Tabelas premium pagas oferecem cobertura superior para NTLM e suporte a conjuntos de caracteres expandidos. A eficácia destas tabelas complementa ferramentas de brute-force como a Medusa em exercícios de avaliação de passwords.

Funcionalidades da ferramenta

Extracção automática de hashes: o Ophcrack pode carregar hashes diretamente a partir de uma partição Windows montada, de ficheiros SAM extraídos ou de dumps capturados por outras ferramentas. O Live CD automatiza todo o processo — arranque, montagem da partição, extração dos hashes e início da recuperação — sem qualquer interação do utilizador.

Interface gráfica: a ferramenta oferece uma GUI em Qt que apresenta o progresso em tempo real, mostrando cada hash a ser quebrado, a password recuperada e o tempo decorrido. A visualização permite acompanhar a recuperação em sistemas com múltiplas contas de utilizador simultaneamente.

Paralelização: o Ophcrack suporta multi-threading, explorando todos os núcleos de CPU disponíveis para acelerar a recuperação. Em sistemas com 8 ou mais núcleos, a quebra de dezenas de hashes LM pode completar-se em menos de um minuto.

Carregamento de tabelas otimizado: as rainbow tables são carregadas na memória de forma eficiente, com indexação que minimiza o tempo de procura. As tabelas de LM podem residir em memória durante todo o processo, eliminando acessos repetidos a disco.

Casos de uso legítimos

Auditorias de segurança utilizam o Ophcrack para avaliar a robustez das passwords configuradas em ambientes Windows corporativos. Um teste que recupere 80% das passwords de utilizadores em menos de cinco minutos fornece evidência objetiva da necessidade de políticas de passwords mais fortes e de desativação do protocolo LM.

Recuperação de acessos em sistemas com passwords perdidas é um cenário comum em suporte técnico. Quando um utilizador perde a password de uma máquina isolada sem controlador de domínio, o Ophcrack pode recuperar o acesso sem formatação do sistema. Esta aplicação é particularmente útil em ambientes onde a reinstalação representaria perda de dados ou tempo significativo.

Investigação forense digital utiliza o Ophcrack em casos onde é necessário aceder a sistemas apreendidos. A recuperação de passwords permite a análise de conteúdo encriptado e de atividade de utilizadores suspeitos. Esta aplicação é complementar a ferramentas como o Maltego para análise de inteligência em investigações de cibercrime.

Impacto na segurança Windows

A existência de ferramentas como o Ophcrack forçou mudanças significativas na arquitetura de segurança do Windows. A Microsoft desativou o armazenamento de hashes LM por defeito no Windows Vista e Windows Server 2008, uma mudança que reduziu drasticamente a eficácia das rainbow tables de 880 MB. No Windows 10 e 11, o protocolo LM foi completamente removido.

A evolução para NTLM e a introdução do NTLMv2 aumentaram a complexidade de quebra. As rainbow tables para NTLM são significativamente maiores e menos eficazes — a tabela gratuita de 6,6 GB cobre apenas 56% das passwords de 14 caracteres mistos. Para passwords fortes (>12 caracteres com maiúsculas, minúsculas, números e símbolos), o Ophcrack torna-se menos prático que o brute-force distribuído ou ataques de GPU.

A adoção de Windows Hello — autenticação biométrica e por PIN — representa a resposta mais recente da Microsoft à vulnerabilidade de hashes baseados em passwords tradicionais.

Considerações éticas e legais

O uso do Ophcrack contra sistemas sem autorização constitui crime em diversas jurisdições. No Brasil, a Lei nº 12.737/2012 tipifica o acesso não autorizado a dispositivos de informática. Profissionais de segurança devem obter autorização explícita e documentada antes de utilizar a ferramenta em sistemas de terceiros.

A distribuição e o uso do Ophcrack são legais em contextos de auditoria autorizada, recuperação de próprios sistemas e pesquisa académica. A ferramenta é incluída em distribuições de pentest como Kali Linux sem restrições, refletindo o seu valor legítimo no arsenal de profissionais de segurança.

Apesar da evolução dos sistemas operativos e dos protocolos de autenticação, o Ophcrack mantém relevância como ferramenta de demonstração dos riscos inerentes ao armazenamento de hashes fracos — uma lição que permanece válida mesmo quase duas décadas após o seu lançamento.