Реклама
Ваш пароль безопасен? Мы все слышали много советов о том, какие пароли вы никогда не должны выбирать, и есть различные инструменты, которые утверждают, что оценить безопасность вашего пароля онлайн Испытайте свои пароли на взлом с помощью этих пяти инструментовВсе мы прочитали значительную часть вопросов «как взломать пароль». Можно с уверенностью сказать, что большинство из них предназначены для гнусных целей, а не для любознательных. Нарушение паролей ... Читать далее . Однако это может быть только сомнительно точным. Единственный способ действительно проверить безопасность ваших паролей - это попытаться взломать их.
Итак, сегодня мы собираемся сделать именно это. Я собираюсь показать вам, как использовать инструмент, который используют настоящие хакеры, для взлома паролей, и покажу, как использовать его для проверки ваших. И, если он не пройдет тест, я покажу вам, как выбрать более безопасные пароли, которые буду задерживать.
Настройка Hashcat
Инструмент, который мы собираемся использовать, называется Hashcat. Официально он предназначен для
восстановление пароля 6 бесплатных инструментов восстановления пароля для Windows Читать далее , но на практике это немного похоже на высказывание BitTorrent Бить блат! Попробуйте эти легкие клиенты BitTorrentОружие не делится нелегальными файлами. Люди делятся нелегальными файлами. Или, подожди, как дела снова? Что я хочу сказать, так это то, что BitTorrent не следует игнорировать, исходя из его потенциала пиратства. Читать далее предназначен для загрузки незащищенных авторских прав файлов. На практике это часто используется хакерами, пытающимися взломать пароли украденный с небезопасных серверов Эшли Мэдисон: Утечка не большая сделка? Подумай еще разНебезрассудный сайт онлайн-знакомств Эшли Мэдисон (нацелен в первую очередь на измену супругам) был взломан. Однако это гораздо более серьезная проблема, чем это изображалось в прессе, и это имеет большое значение для безопасности пользователей. Читать далее . Как побочный эффект, это делает его очень мощным способом проверки безопасности пароля.Примечание: это руководство для Windows. Те из вас, кто работает в Linux, могут посмотреть видео ниже, чтобы понять, с чего начать.
Вы можете получить Hashcat от hashcat.net страница в Интернете. Загрузите и разархивируйте его в папку загрузок. Далее нам нужно получить некоторые вспомогательные данные для инструмента. Мы собираемся приобрести список слов, который представляет собой огромную базу паролей, которую инструмент может использовать в качестве отправной точки, особенно rockyou.txt набор данных. Загрузите его и вставьте в папку Hashcat. Убедитесь, что он называется «rockyou.txt»
Теперь нам нужен способ генерирования хэшей. Мы будем использовать WinMD5, который является легким бесплатным инструментом, который хэширует определенные файлы. Загрузите его, разархивируйте и поместите в каталог Hashcat. Мы собираемся создать два новых текстовых файла: hashes.txt и password.txt. Поместите оба в каталог Hashcat.
Это оно! Вы сделали
Народная история хакерских войн
Прежде чем мы на самом деле используем это приложение, давайте немного поговорим о том, как пароли на самом деле взламываются и как мы дошли до этого момента.
Еще в туманной истории информатики веб-сайты хранили обычные пароли в виде простого текста. Кажется, это имеет смысл. Вам необходимо убедиться, что пользователь отправил правильный пароль. Очевидный способ сделать это - хранить копию паролей под рукой в небольшом файле и проверять введенный пользователем пароль по списку. Легко.
Это была огромная катастрофа. Хакеры получат доступ к серверу с помощью некоторой коварной тактики (например, вежливо спрашивать), украдите список паролей, войдите в систему и украдите все деньги. По мере того, как исследователи безопасности выбирались из обломков этой катастрофы, стало ясно, что нам нужно сделать что-то другое. Решение было хэшированием.
Для тех, кто не знаком, хэш-функция Что на самом деле означает весь этот хэш-материал MD5 [Объясненная технология]Вот полный обзор MD5, хэширование и небольшой обзор компьютеров и криптографии. Читать далее это фрагмент кода, который берет часть информации и математически складирует ее в кусок бессмысленной твари. Это называется «хеширование» данных. Что в них классного, так это то, что они движутся только в одном направлении. Очень легко взять часть информации и выяснить ее уникальный хэш. Очень трудно взять хеш и найти часть информации, которая его генерирует. На самом деле, если вы используете случайный пароль, вы должны попробовать каждую возможную комбинацию, чтобы сделать это, что более или менее невозможно.
Те, кто следит за вами дома, могут заметить, что хэши имеют некоторые действительно полезные свойства для приложений с паролями. Теперь вместо хранения пароля вы можете хранить хэши паролей. Если вы хотите подтвердить пароль, вы хэшируете его, удаляете оригинал и сверяете со списком хэшей. Все хэш-функции дают одинаковые результаты, поэтому вы все равно можете проверить, что они отправили правильные пароли. Важно отметить, что настоящие незашифрованные пароли никогда не хранятся на сервере. Поэтому, когда хакеры взламывают сервер, они не могут украсть любые пароли - только бесполезные хэши. Это работает достаточно хорошо.
Реакция хакеров на это заключалась в том, чтобы тратить много времени и энергии на разработку действительно умные способы поменять хэши Ophcrack - инструмент для взлома паролей для взлома практически любого пароля WindowsСуществует множество разных причин, по которым можно использовать любое количество инструментов для взлома паролей для взлома пароля Windows. Читать далее .
Как работает Hashcat
Мы можем использовать несколько стратегий для этого. Одним из наиболее надежных является тот, который использует Hashcat, который должен заметить, что пользователи не очень изобретательны и склонны выбирать одинаковые пароли.
Например, большинство паролей состоят из одного или двух английских слов, пары цифр и, возможно, замены букв «leet-talk» или случайной заглавной буквы. Из выбранных слов некоторые являются более вероятными, чем другие: «пароль», название службы, ваше имя пользователя и «привет» - все популярны. Так же популярны имена домашних животных и текущего года.
Зная это, вы можете начать генерировать очень правдоподобные предположения о том, что могли выбрать разные пользователи, что должно (в конечном итоге) позволить вам правильно угадать, сломать хеш и получить доступ к их логину полномочия. Это звучит как безнадежная стратегия, но помните, что компьютеры смехотворно быстры. Современный компьютер может попробовать миллионы догадок в секунду.
Это то, что мы будем делать сегодня. Мы будем притворяться, что ваши пароли находятся в хеш-списке в руках злоумышленника, и использовать тот же инструмент для взлома хешей, который используют на них хакеры. Думайте об этом как о пожарной тренировке для вашей онлайн-безопасности. Давайте посмотрим, как это происходит!
Как использовать Hashcat
Во-первых, нам нужно генерировать хэши. Откройте WinMD5 и файл «password.txt» (в блокноте). Введите один из ваших паролей (только один). Сохраните файл. Откройте его с помощью WinMD5. Вы увидите маленькую коробку с хешем файла. Скопируйте это в свой файл «hashes.txt» и сохраните его. Повторите это, добавляя каждый файл в новую строку в файле «hashes.txt», пока вы не получите хеш для каждого пароля, который вы обычно используете. Затем, просто для удовольствия, введите хеш для слова «пароль» в качестве последней строки.
Здесь стоит отметить, что MD5 - не очень хороший формат для хранения хэшей паролей - он достаточно быстр для вычислений, делая брутфорсинг более жизнеспособным. Поскольку мы проводим деструктивное тестирование, это для нас плюс. При реальной утечке пароля наши пароли будут хэшироваться с помощью Scrypt или какой-либо другой безопасной хэш-функции, которую медленнее тестировать Используя MD5, мы можем, по сути, смоделировать процесс, затрачивая гораздо больше вычислительной мощности и времени на решение проблемы, чем у нас есть.
Затем убедитесь, что файл «hashes.txt» был сохранен, и запустите Windows PowerShell. Перейдите в папку Hashcat (компакт диск .. поднимается на уровень, Ls перечисляет текущие файлы, и CD [имя файла] входит в папку в текущем каталоге). Сейчас типа ./hashcat-cli32.exe –hash-type = 0 –attack-mode = 8 hashes.txt rockyou.txt.
Эта команда в основном говорит: «Запустите приложение Hashcat. Настройте его на работу с хэшами MD5 и используйте атаку «режим принца» (которая использует различные стратегии для создания вариантов слов в списке). Попробуйте разбить записи в файле «hashes.txt» и использовать файл «rockyou.txt» в качестве словаря.
Нажмите ввод и примите лицензионное соглашение (которое в основном говорит: «Я клянусь, я не буду ничего взламывать с этим»), а затем дайте ему поработать. Хеш для пароля должен появиться через секунду или две. После этого это просто вопрос ожидания. Слабые пароли появятся в течение нескольких минут на быстром, современном процессоре. Обычные пароли появятся через пару часов, через день или два. Надежные пароли могут занять очень много времени. Один из моих старых паролей был взломан менее чем за десять минут.
Вы можете оставить это включенным так долго, как захотите. Я предлагаю по крайней мере на ночь или на вашем компьютере, пока вы на работе. Если вы сделаете это 24 часа, ваш пароль, вероятно, будет достаточно надежным для большинства приложений - хотя это не гарантия. Хакеры могут желать проводить эти атаки в течение длительного времени или иметь доступ к лучшему списку слов. Если вы сомневаетесь в безопасности вашего пароля, найдите лучший.
Мой пароль был взломан: что теперь?
Скорее всего, некоторые ваши пароли не сохранили. Итак, как вы можете создать надежные пароли, чтобы заменить их? Как оказалось, действительно сильная техника (популяризируется xkcd) это парольные фразы. Откройте ближайшую книгу, перейдите на произвольную страницу и положите палец на страницу. Возьмите ближайшее имя, глагол, прилагательное или наречие и запомните это. Если у вас их четыре или пять, смешайте их без пробелов, цифр или заглавных букв. НЕ используйте «correcthorsebatterystaple». К сожалению, он становится популярным в качестве пароля и включен во многие списки слов.
Один примерный пароль, который я только что сгенерировал из антологии научной фантастики, которая сидела на моем журнальном столике, - это «leanedsomeartisansharmingdarling» (не используйте и этот). Это намного легче запомнить, чем произвольную строку букв и цифр, и, вероятно, более безопасно. Носители английского языка имеют рабочий словарный запас около 20 000 слов. В результате для последовательности из пяти случайно выбранных общих слов существует 20 000 ^ 5, или около трех возможных комбинаций секстиллионов. Это далеко за пределами любой текущей атаки грубой силы.
Напротив, случайно выбранный восьмисимвольный пароль будет синтезирован в терминах символов, с приблизительно 80 возможностями, включая верхний регистр, нижний регистр, числа, символы и пробелы. 80 ^ 8 - это только квадриллион. Это все еще звучит громко, но сломать его на самом деле возможно. Учитывая десять высокопроизводительных настольных компьютеров (каждый из которых может делать около десяти миллионов хешей в секунду), это может быть подвергнут грубому насилию через несколько месяцев - и безопасность полностью развалится, если это не будет на самом деле случайным образом. Это также гораздо сложнее запомнить.
Другой вариант - использовать менеджер паролей, который может генерировать для вас безопасные пароли на лету, и все они могут быть «разблокированы» с помощью одного мастер-пароля. Вам все еще нужно выбрать действительно хороший мастер-пароль (и если вы его забудете, у вас проблемы), но если ваши хеши паролей просочились в результате взлома веб-сайта, у вас будет сильный дополнительный уровень безопасности.
Постоянная бдительность
Надежная защита паролем не очень сложна, но требует, чтобы вы знали об этой проблеме и предпринимали шаги для обеспечения безопасности. Этот вид разрушительного тестирования может быть хорошим сигналом для пробуждения. Одно интеллектуально знать, что ваши пароли могут быть небезопасными. Еще один факт - увидеть, как он выскочил из Hashcat через несколько минут.
Как ваши пароли держались? Дайте нам знать об этом в комментариях!
Андре, писатель и журналист, работающий на юго-западе, гарантированно сохраняет работоспособность до 50 градусов по Цельсию и водонепроницаем на глубине до двенадцати футов.
