Acțiune:
Testați-vă puterea parolei cu ajutorul aceluiași instrument Hackerii
Este parola sigură? Am auzit cu toții o mulțime de sfaturi despre ce fel de parole nu ar trebui să alegeți niciodată - și există diferite instrumente care pretind că vor evalua securitatea parolei dvs. online Puneți-vă parolele prin testul de crăpare cu aceste cinci instrumente de securitate a parolei Puneți-vă parolele Prin testarea crack-ului cu aceste cinci instrumente de întărire a parolei Toate dintre noi au citit o parte echitabilă din întrebările "Cum am sparge parola". Este sigur să spunem că majoritatea sunt pentru scopuri nefaste, mai degrabă decât una curioasă. Încălcarea parolelor ... Citește mai mult. Cu toate acestea, acestea pot fi exacte doar în mod dubios. Singura modalitate de a testa cu adevărat siguranța parolelor dvs. este să încercați să le rupeți.
Așa că astăzi vom face exact asta. Vă voi arăta cum să utilizați un instrument pe care hackerii reali îl folosesc pentru a sparge parolele și vă va arăta cum să îl utilizați pentru a vă verifica pe dvs. Și dacă nu reușește testul, vă voi arăta cum să alegeți parole mai sigure voi rezistați.
Configurarea Hashcat
Instrumentul pe care îl vom folosi este numit Hashcat. În mod oficial, este destinat pentru recuperarea parolei 6 Instrumente gratuite de recuperare a parolei pentru Windows 6 Instrumente gratuite de recuperare a parolei pentru Windows Citiți mai multe, dar în practică acest lucru este puțin asemănător cu BitTorrent Beat the Bloat! Încercați acești clienți BitTorrent ușor Beat Bloat! Încercați acești clienți BitTorrent ușor Guns nu partajează fișiere ilegale. Oamenii împart fișiere ilegale Sau, așteaptă, cum merge din nou? Ceea ce vreau să spun este că BitTorrent nu ar trebui să fie dizolvat pe baza potențialului său de piraterie. Citește mai mult este destinat descărcării fișierelor nedorite. În practică, este adesea folosit de hackeri care încearcă să spargă parolele furate de pe servere nesigure Ashley Madison Leak No Big Deal? Gândește-te din nou Ashley Madison nu scapă nici o mare afacere? Gândiți-vă din nou Discreet site-ul de dating site-ul Ashley Madison (vizat în primul rând la partenerii de înșelăciune) a fost hacked. Totuși, aceasta este o problemă mult mai serioasă decât cea prezentată în presă, cu implicații considerabile pentru siguranța utilizatorilor. Citeste mai mult . Ca efect secundar, aceasta face ca acesta să fie o modalitate foarte puternică de a testa securitatea parolei.
Notă: acest tutorial este pentru Windows. Cei dintre voi pe Linux pot verifica videoclipul de mai jos pentru o idee despre unde să începeți.
Puteți obține Hashcat de pe pagina web a hashcat.net. Descărcați și dezarhivați-l în dosarul Descărcări. În continuare, vom avea nevoie de câteva date auxiliare pentru instrument. Vom achiziționa o listă de cuvinte, care este în esență o bază de date imensă de parole pe care instrumentul o poate utiliza ca punct de plecare, în special setul de date rockyou.txt. Descărcați-l și lipiți-l în dosarul Hashcat. Asigurați-vă că este numit "rockyou.txt"
Acum vom avea nevoie de o modalitate de a genera hash-urile. Vom folosi WinMD5, care este un instrument freeware gratuit, care conține fișiere specifice. Descărcați-l, dezarhivați-l și plasați-l în directorul Hashcat. Vom face două fișiere text noi: hashes.txt și password.txt. Puneți ambele în directorul Hashcat.
Asta e! Ați terminat.
Istoria poporului despre războaiele hackerilor
Înainte de a utiliza această aplicație, să vorbim puțin despre modul în care parolele sunt rupte și cum am ajuns la acest punct.
Înapoi în istoria zgomotoasă a științei informaticii, a fost o practică standard pentru site-urile web pentru a stoca parolele utilizatorilor în text simplu. Acest lucru pare să aibă sens. Trebuie să verificați dacă utilizatorul a trimis parola corectă. O modalitate evidentă de a face acest lucru este să păstrați o copie a parolelor la îndemână într-un fișier mic undeva și să verificați parola trimisă de utilizator pe listă. Uşor.
Acesta a fost un dezastru uriaș. Hackerii ar avea acces la server printr-o tactică atentă (cum ar fi să ceară politicos), să fure lista de parole, să se conecteze și să fure banii tuturor. În calitate de cercetători din domeniul securității care s-au strâns de pe urma furtului de fumat al acelui dezastru, era clar că trebuia să facem ceva diferit. Soluția a fost hashing.
Pentru cei care nu sunt familiarizați, o funcție hash Ce înseamnă toate aceste lucruri MD5 Hash înseamnă în realitate [Technology Explained] Ce înseamnă toate aceste lucruri MD5 Hash Actually means [Technology Explained] Iată o descriere completă a MD5, hash și o privire de ansamblu asupra computerelor și criptografiei . Citește mai mult este o bucată de cod care ia o bucată de informație și o scutură matematic într-o piesă de lungime fixă de gabberish. Aceasta se numește "hashing" datele. Ceea ce este cool despre ei este că ele merg într-o singură direcție. Este foarte ușor să iei o bucată de informații și să-ți dai seama de hash-ul său unic. Este foarte greu să faci un hash și să găsești o bucată de informații care o generează. De fapt, dacă utilizați o parolă aleatorie, trebuie să încercați orice combinație posibilă pentru ao face, ceea ce este mai mult sau mai puțin imposibil.
Aceia dintre dvs. care au urmat de-a lungul acasă ar putea observa că hash-urile au câteva proprietăți foarte utile pentru aplicațiile de parolă. Acum, în loc să stocați parola, puteți stoca sumele parolelor. Când doriți să verificați o parolă, trebuie să o ștergeți, să ștergeți originalul și să îl verificați împotriva listei de hash-uri. Funcțiile Hash oferă toate aceleași rezultate, astfel încât să puteți verifica dacă au trimis parolele corecte. În mod critic, parolele plaintext reale nu sunt niciodată stocate pe server. Deci, atunci când hackerii încalcă serverul, nu pot să fure parolele - doar hashes inless. Acest lucru funcționează destul de bine.
Răspunsul hackerilor la acest lucru a fost de a petrece o mulțime de timp și de energie vine cu moduri foarte inteligente de a inversa hashes Ophcrack - un instrument de parola Hack pentru a crack aproape orice Windows Password Ophcrack - un instrument de parola Hack pentru a crack aproape orice Windows Password Există un o mulțime de motive diferite de ce ar trebui să folosiți orice număr de instrumente de hacking pentru a sparge o parolă Windows. Citeste mai mult .
Cum funcționează Hashcat
Putem folosi mai multe strategii pentru aceasta. Una dintre cele mai robuste este cea folosită de Hashcat, care constă în faptul că utilizatorii nu sunt foarte imaginativi și tind să aleagă aceleași tipuri de parole.
De exemplu, majoritatea parolelor constau în una sau două cuvinte în limba engleză, câteva numere și, poate, unele “leet-vorbi” înlocuirea literelor sau capitalizarea aleatorie. Dintre cuvintele selectate, unele sunt mult mai probabil decât altele: "parola", numele serviciului, numele dvs. de utilizator și "salut" sunt toate populare. Ditto nume populare de animale de companie, și anul curent.
Știind acest lucru, puteți începe să generați presupuneri foarte plauzibile cu privire la ceea ce ar fi putut alege diferiții utilizatori, ceea ce ar trebui (în cele din urmă) să vă permită să ghiciți corect, să rupeți hash-ul și să obțineți acces la acreditările lor de conectare. Acest lucru pare a fi o strategie fără speranță, dar nu uitați că calculatoarele sunt ridicol de rapide. Un calculator modern poate încerca milioane de presupuneri pe secundă.
Asta vom face astăzi. Vom pretinde că parolele dvs. sunt într-o listă de tip hash în mâinile unui hacker rău intenționat și că rulați același instrument de spargere a hash-urilor pe care hackerii le folosesc. Gândiți-vă la acest lucru ca pe o forajă de foc pentru securitatea dvs. online. Să vedem cum merge!
Cum se utilizează Hashcat
În primul rând, trebuie să generăm hash-urile. Deschideți WinMD5 și fișierul "password.txt" (în notepad). Introduceți una dintre parolele dvs. (doar una). Salvați fișierul. Deschideți-l utilizând WinMD5. Veți vedea o cutie mică conținând hash-ul fișierului. Copiați-l în fișierul "hashes.txt" și salvați-l. Repetați acest lucru, adăugând fiecare fișier la o nouă linie în fișierul "hashes.txt", până când aveți o hash pentru fiecare parolă pe care o utilizați în mod obișnuit. Apoi, doar pentru distracție, puneți în hash cuvântul "parolă" ca ultimul rând.
Este demn de remarcat faptul că MD5 nu este un format foarte bun pentru stocarea hash-urilor de parole - este destul de rapid să se calculeze, făcând ca forța brute să devină mai viabilă. Deoarece facem teste distructive, acesta este de fapt un plus pentru noi. Într-o parolă reală parcurgeți parolele noastre ar fi fost șterse cu Scrypt sau cu alte funcții de securitate hash, care sunt mai lent testate. Folosind MD5, putem simula în mod esențial aruncarea mult mai multă putere de procesare și timp pentru a rezolva problema decât avem de fapt la dispoziție.
Apoi, asigurați-vă că fișierul 'hashes.txt' a fost salvat și a afișat Windows PowerShell. Navigați la folderul Hashcat (CD… urcă un nivel, ls listează fișierele curente și cd [nume fișier] introduce un dosar în directorul curent). Acum tastați ./hashcat-cli32.exe -hash-type = 0 -attack -mod = 8 hashes.txt rockyou.txt.
Această comandă spune în principiu “Rulați aplicația Hashcat. Setați-l să funcționeze pe hash-urile MD5 și utilizați a “prințul” (care utilizează o varietate de strategii diferite pentru a crea variante ale cuvintelor din listă). Încercați să rupeți intrările în fișierul 'hashes.txt' și folosiți fișierul 'rockyou.txt' ca dicționar.
Activați intrarea și acceptați EULA (care spune în esență “Pinky jur că nu voi sparge nimic cu asta”), apoi lăsați-o să ruleze. Hash-ul pentru parola ar trebui să apară într-o secundă sau două. După aceea, este doar o chestiune de așteptare. Parolele slabe vor apărea în câteva minute pe un procesor rapid și modern. Parolele normale vor apărea în câteva ore până la o zi sau două. Parolele puternice pot dura foarte mult timp. Una dintre parolele mele mai vechi a fost spartă în mai puțin de zece minute.
Puteți lăsa acest lucru să fie difuzat atâta timp cât vă simțiți. Vă sugerez cel puțin peste noapte, sau pe PC-ul dvs. în timp ce sunteți la locul de muncă. Dacă o faci 24 de ore, parola este, probabil, destul de puternică pentru majoritatea aplicațiilor - deși nu este o garanție. Hackerii ar putea fi dispuși să execute aceste atacuri mult timp sau să aibă acces la o listă de cuvinte mai bună. Dacă aveți îndoieli cu privire la securitatea parolei, obțineți una mai bună.
Parola mea a fost spartă: Acum ce?
Mai mult decât probabil, unele dintre parolele dvs. nu s-au ridicat. Deci, cum puteți genera parole puternice pentru a le înlocui? După cum se dovedește, o tehnică cu adevărat puternică (popularizată de xkcd) este expresia pass. Deschideți cea mai apropiată carte, reveniți la o pagină aleatoare și puneți degetul pe o pagină. Luați cel mai apropiat substantiv, verb, adjectiv sau adverb și amintiți-vă. Când aveți patru sau cinci, le strângeți împreună fără spații, numere sau capitalizări. Nu folosi “correcthorsebatterystaple”. Este din păcate populară ca parolă și este inclusă în multe liste de cuvinte.
Un exemplu de parolă pe care tocmai l-am generat dintr-o antologie științifico-fantastică care stătea pe masa mea de cafea este “leanedsomeartisansharmingdarling” (nu utilizați nici unul). Acest lucru este mult mai ușor de memorat decât un șir de litere și numere arbitrare, și probabil este mai sigur. Angajații vorbitori nativi au un vocabular de lucru de aproximativ 20.000 de cuvinte. Ca urmare, pentru o succesiune de cinci cuvinte comune alese aleatoriu, există 20.000 ^ 5 sau aproximativ trei combinații posibile de sextillion. Acest lucru este mult dincolo de înțelegerea oricărui atac de forță brute.
În schimb, o parolă opt caractere aleasă în mod aleatoriu ar fi sintetizată în termeni de caractere, cu aproximativ 80 de posibilități, inclusiv majuscule, litere mici, numere, caractere și spații. 80 ^ 8 este doar un cvadriliu. Încă sună mare, dar ruperea este de fapt în domeniul posibilității. Având în vedere zece computere de birou de vârf (fiecare din ele putând efectua aproximativ zece milioane de hashuri pe secundă), aceasta ar putea fi forțată în câteva luni - și securitatea se destramă complet dacă nu este întâmplătoare. Este, de asemenea, mult mai greu de reținut.
O altă opțiune este să utilizați un manager de parole, care poate genera parole sigure pentru dvs. în zbor, toate acestea pot fi "deblocate" utilizând o singură parolă principală. Totuși, trebuie să alegeți o parolă de master foarte bună (și dacă o uitați, aveți probleme) - dar dacă parolele dvs. de parolă sunt scurgeri într-o încălcare a site-ului web, aveți un nivel suplimentar puternic de securitate.
Vigilanță constantă
Securitatea bună a parolei nu este foarte dificilă, dar necesită să fiți conștient de această problemă și să luați măsuri pentru a rămâne sigură. Acest tip de testare distructivă poate fi un apel bun de trezire. Este un lucru să știți, intelectual, că parolele dvs. ar putea fi nesigure. Este altceva să-l vezi de fapt, să ieși din Hashcat după câteva minute.
Cum au păstrat parolele tale?? Spuneți-ne în comentariile!
Explorați mai multe despre: Hacking, Security Online, Parola.