Preverite svojo moč gesla z istimi orodji hekerji

Oglas

Ali je vaše geslo varno? Vsi smo slišali veliko nasvetov o tem, katere vrste gesel ne bi smeli nikoli izbrati - in obstajajo različna orodja, ki trdijo, da ocenite varnost svojega gesla na spletu S pomočjo teh petih orodij za trdnost gesla postavite gesla skozi test treskVsi smo prebrali velik del vprašanj o "kako polomim geslo". Varno lahko rečemo, da jih je večina v zloglasne in ne radovedne namene. Kršitev gesla ... Preberi več . Vendar so te lahko le dvomljivo točne. Edini način, da resnično preizkusite varnost gesel, je, da jih poskusite razbiti.

Danes bomo naredili ravno to. Pokazal vam bom, kako uporabljati orodje, ki ga pravi hekerji uporabljajo za kramp gesla, in vam pokazati, kako lahko to preverite. Če test ne uspe, vam pokažem, kako izbrati varnejša gesla volja zdrži.

Nastavitev Hashcat-a

Orodje, ki ga bomo uporabljali, se imenuje Hashcat. Uradno je namenjen obnovitev gesla 6 Prosta orodja za obnovitev gesla za Windows Preberi več , ampak v praksi je to malo tako, kot da bi rekli

BitTorrent Beat Bloat! Preizkusite te lahke stranke BitTorrentPuške ne delijo nezakonitih datotek. Ljudje delijo nezakonite datoteke. Ali pa počakaj, kako spet gre? Hočem reči, da se BitTorrent ne bi smel zanašati na podlagi njegovega potenciala piratstva. Preberi več je namenjen nalaganju nezaščitenih datotek. V praksi jo pogosto uporabljajo hekerji, ki poskušajo razbiti gesla ukradeno iz nevarnih strežnikov Ashley Madison pušča brez velike ponudbe? Pomisli še enkratDiskretna spletna stran za zmenke Ashley Madison (namenjena predvsem goljufanju zakoncev) je bila vložena. Vendar je to veliko bolj resno vprašanje, kot je bilo predstavljeno v tisku, s pomembnimi posledicami za varnost uporabnikov. Preberi več . Kot stranski učinek je to zelo močan način preverjanja varnosti gesla.

Opomba: ta vadnica je za Windows. Tisti od vas v Linuxu si lahko ogledate spodnji video in poiščete, kje začeti.

Hashcat lahko dobite pri hashcat.net Spletna stran. Prenesite ga in razpakirajte v mapo za prenos. Nato bomo za to orodje potrebovali nekaj pomožnih podatkov. Pridobili bomo seznam besed, ki je v bistvu velika baza gesel, ki jo orodje lahko uporabi kot izhodišče, zlasti rockyou.txt nabor podatkov Prenesite ga in nalepite v mapo Hashcat. Prepričajte se, da je ime „rockyou.txt“

Zdaj bomo potrebovali način za ustvarjanje hešev. Uporabljali bomo WinMD5, ki je lahkotno brezplačno orodje, ki vsebuje posebne datoteke. Prenesite ga, razpakirajte in spustite v imenik Hashcat. Naredili bomo dve novi besedilni datoteki: hashes.txt in geslo.txt. Oboje dajte v imenik Hashcat.

To je to! Končal si.

Ljudska zgodovina hekerskih vojn

Preden dejansko uporabimo to aplikacijo, se pogovorimo o tem, kako se gesla dejansko lomijo in kako smo prišli do te točke.

V zgodovini zgodovine računalništva je bila običajna praksa, da spletna mesta shranjujejo uporabniška gesla v navadnem besedilu. Zdi se, da je smiselno. Preveriti morate, ali je uporabnik poslal pravilno geslo. Očitno lahko to storite tako, da kopijo gesel shranite v majhni datoteki nekje in preverite, ali je uporabnikovo geslo predloženo na seznam. Preprosto.

To je bila velika katastrofa. Hekerji bi dobili dostop do strežnika s pomočjo neke zmotne taktike (npr vprašati vljudno), ukradite seznam geslov, se prijavite in ukradite vsem denar. Ko so se raziskovalci na področju varnosti pobrali iz razbitin kajenja te katastrofe, je bilo jasno, da moramo narediti nekaj drugega. Rešitev je bila razpršena.

Za tiste, ki niso znani, a hash funkcijo Kaj vse to MD5 komadne stvari dejansko pomeni [pojasnjena tehnologija]Tukaj je popolno razpadanje MD5, hashing in majhen pregled računalnikov in kriptografije. Preberi več je del kode, ki vzame informacijo in jo matematično izpiše v košček nespremenljive dolžine. Temu se reče "heširanje" podatkov. Kul je v tem, da gredo samo v eno smer. Zelo enostavno je vzeti informacijo in ugotoviti njen edinstveni hash. Zelo težko je vzeti hash in najti informacije, ki ga ustvarijo. Če dejansko uporabljate naključno geslo, morate poskusiti vsako možno kombinacijo, da to storite, kar je bolj ali manj nemogoče.

Tisti, ki vas spremljajo doma, lahko opazijo, da imajo heše nekatere resnično uporabne lastnosti za geslo. Zdaj lahko namesto shranjevanja gesla shranite šifre gesel. Ko želite preveriti geslo, ga razstavite, izbrišite original in ga preverite glede na seznam razpršitev. Hash funkcije vse dosegajo enake rezultate, tako da lahko še vedno preverite, ali so poslali pravilna gesla. Bistveno je, da dejanska gesla v preprostem besedilu nikoli niso shranjena na strežniku. Ko hekerji kršijo strežnik, ne morejo ukrasti nobenega gesla - samo neuporabne heše. To deluje dobro.

Odziv hekerjev na to je bil, da porabijo veliko časa in energije res pametni načini, kako obrniti hashe Ophcrack - orodje za kramp gesla za zlom skoraj vsakega gesla za WindowsObstaja veliko različnih razlogov, zakaj bi človek želel uporabiti poljubno število orodij za kramp gesla za kramp gesla za Windows. Preberi več .

Kako deluje Haškat

Za to lahko uporabimo več strategij. Eno najbolj robustnih je tista, ki jo uporablja Hashcat, in sicer ta, da opažamo, da uporabniki niso zelo domiselni in si nalagajo iste vrste gesla.

Na primer, večina gesel je sestavljena iz ene ali dveh angleških besed, nekaj številk in morda nekaj nadomestitve črk "leet-speak" ali naključna uporaba velikih začetnic. Med izbranimi besedami so nekatere bolj verjetno kot druge: "geslo", ime storitve, uporabniško ime in "zdravo" so priljubljene. Ditto priljubljena imena hišnih ljubljenčkov in tekoče leto.

Če veste to, lahko začnete ustvarjati zelo verjetna ugibanja o tem, kaj so lahko izbrali različni uporabniki, kar naj bi vam (sčasoma) omogočilo pravilno ugibanje, razbijanje hash-ja in dostop do njihove prijave poverilnice. To se sliši kot brezupna strategija, vendar ne pozabite, da so računalniki smešno hitri. Sodoben računalnik lahko poskusi na milijone ugibanj na sekundo.

To bomo počeli danes. Pretvarjali se bomo, da so vaša gesla na seznamu hash-a v rokah zlonamernega hekerja in bomo izvajali isto orodje, ki ga uporabljajo hekerji. Zamislite si to kot požarno vajo za svojo spletno varnost. Poglejmo, kako gre!

Kako uporabljati Hashcat

Najprej moramo ustvariti šifre. Odprite WinMD5 in datoteko 'password.txt' (v beležnici). Vnesite eno od svojih geslov (samo eno). Shranite datoteko. Odprite ga z WinMD5. Videlo se bo majhno polje, ki vsebuje razpršitev datoteke. Kopirajte to v datoteko 'hashes.txt' in jo shranite. To ponovite tako, da vsako datoteko dodate v novo vrstico v datoteki "hashes.txt", dokler ne dobite hash-a za vsako geslo, ki ga redno uporabljate. Nato za zabavo v zadnjo vrstico vnesite hash za besedo geslo.

Tu je vredno opozoriti, da MD5 ni zelo dober format za shranjevanje šifrantov gesel - precej hitro je izračunati, zaradi česar je prisiljevanje bolj učinkovito. Ker delamo uničujoče testiranje, je to za nas pravzaprav plus. V resničnem puščanju gesla bi se naša gesla zmešala s programom Scrypt ali kakšno drugo varno funkcijo hash, ki se počasneje preizkušajo. Z uporabo MD5 lahko v bistvu simuliramo metanje veliko več procesorske moči in časa, kot je dejansko na voljo.

Nato preverite, ali je bila datoteka hashes.txt shranjena in odprite Windows PowerShell. Pomaknite se do mape Hashcat (cd .. gre za raven, ls seznami trenutne datoteke in cd [ime datoteke] vnese mapo v trenutni imenik). Zdaj vnesite ./hashcat-cli32.exe –hash-type = 0 -attack-mode = 8 hashes.txt rockyou.txt.

Ta ukaz v bistvu pravi: »Zaženite aplikacijo Hashcat. Nastavite ga tako, da deluje s pomočjo hash-jev MD5 in uporabite napad "prince mode" (ki uporablja različne strategije za ustvarjanje različic besed na seznamu). Poskusite razbiti vnose v datoteki 'hashes.txt' in uporabite datoteko 'rockyou.txt' kot slovar.

Pritisnite tipko Enter in sprejmite pogodbo EULA (ki v bistvu pravi: "Pinky prisežem, da s tem ne bom ničesar", nato pa jo pustite zagnati. Hash za geslo bi se moral pojaviti v sekundi ali dveh. Po tem je samo vprašanje čakanja. Šibka gesla se bodo v hitrem in modernem CPU-ju pojavila v nekaj minutah. Običajna gesla se bodo pojavila v nekaj urah do dneva ali dveh. Močna gesla lahko trajajo zelo dolgo. Eno od mojih starejših gesel je bilo pokvarjeno v manj kot desetih minutah.

To lahko pustite teči tako dolgo, kot želite. Predlagam vsaj čez noč ali v računalniku, ko ste v službi. Če ga naredite 24 ur, je geslo verjetno dovolj močno za večino aplikacij - čeprav to ni zagotovilo. Hekerji bodo morda želeli te napade izvajati dlje časa ali pa imajo dostop do boljšega seznama besed. Če dvomite o varnosti gesla, si oglejte boljše.

Moje geslo je bilo pokvarjeno: kaj zdaj?

Več kot verjetno je, da nekatera vaša gesla niso zdržala. Kako lahko ustvarite močna gesla, da jih zamenjate? Kot kaže, res močna tehnika (populariziral xkcd) je prevajalske besedne zveze. Odprite najbližjo knjigo, se obrnite na naključno stran in spustite prst na stran. Vzemite najbližji samostalnik, glagol, pridevnik ali prislov in si ga zapomnite. Ko jih imate štiri ali pet, jih povežite skupaj s presledki, številkami in velikimi črkami. NE uporabljajte "pravilnohitrostne naprave". Žal je postalo priljubljeno kot geslo in je vključeno v številne sezname besed.

Primer gesla, ki sem ga pravkar ustvaril iz antologije znanstvene fantastike, ki je sedela na moji kavni mizi, je "nagnjena nekajartisansharmingdarling" (tudi tega ne uporabljate). To si je veliko lažje zapomniti kot poljubni niz črk in številk in je verjetno bolj varno. Govorniki angleškega jezika imajo delovni besednjak približno 20.000 besed. Posledično je za zaporedje petih naključno izbranih pogostih besed 20.000 ^ 5 ali približno tri sekstiljon možne kombinacije. To je daleč od vseh možnih napadov.

V nasprotju s tem bi bilo naključno izbrano geslo osem znakov sintetizirano v znakih, z okoli 80 možnostmi, vključno z velikimi in malimi črkami, številkami, znaki in presledki. 80 ^ 8 je le štirinolij. To še vedno zveni veliko, toda razbijanje je pravzaprav znotraj področja možnosti. Glede na deset namiznih računalnikov višjega cenovnega razreda (od katerih lahko vsak naredi približno deset milijonov hešes na sekundo), to bi lahko v nekaj mesecih izsiljevali - in varnost popolnoma razpadla, če dejansko ni naključen. Prav tako je veliko težje zapomniti.

Druga možnost je uporaba skrbnika gesla, ki lahko ustvari varna gesla za vas med letenjem, vsa pa lahko "odklenete" z enim glavnim geslom. Še vedno morate izbrati res dobro glavno geslo (in če ga pozabite, imate težave) - če pa se šibe gesla iztekajo v primeru kršitve spletnega mesta, imate močno dodatno plast varnosti.

Nenehna budnost

Dobra varnost gesla ni zelo težka, vendar morate biti pozorni na to težavo in sprejeti ukrepe za varovanje. Tovrstno destruktivno testiranje je lahko dober klic budnosti. Intelektualno je vedeti, da vaša gesla morda niso varna. Druga stvar je videti, kako po nekaj minutah izskoči s Hashcat-a.

Kako so se držala gesla? Sporočite nam v komentarjih!