Тестирајте чврстоћу своје лозинке помоћу истих хакера алата

Реклама

Да ли је лозинка сигурна? Сви смо чули пуно савета о томе које врсте лозинки никада не би требало да изаберете - а постоје и различити алати за које тврде да процијените сигурност своје лозинке на мрежи Ставите лозинке кроз тест пукотина помоћу ових пет алата за јачину лозинкеСви смо прочитали приличан део питања „како да разбијем лозинку“. Сигурно је рећи да их је већина у злогласне сврхе, а не радознала. Кршење лозинки ... Опширније . Међутим, они могу бити само сумњиво тачни. Једини начин да се стварно тестира сигурност ваших лозинки је покушај да их разбијете.

Дакле, данас ћемо учинити управо то. Показаћу вам како да користите алат који прави хакери користе да би провалили лозинке и показаћу вам како да га употребите за проверу својих. А ако не успе тест, показаћу вам како да одаберете сигурније лозинке воља држати.

Постављање Хасхцат-а

Алат који ћемо користити зове се Хасхцат. Званично, то је и намењено Повратак изгубљене шифре 6 бесплатних алата за опоравак лозинке за Виндовс Опширније

, али у пракси је то мало слично рећи БитТоррент Беат тхе Блоат! Испробајте ове мале БитТоррент клијентеПушке не деле нелегалне датотеке. Људи деле нелегалне датотеке. Или, сачекајте, како иде опет? Оно што желим рећи је да БитТоррент не треба одбацивати на основу свог потенцијала за пиратерију. Опширније је намијењен за преузимање датотека без ауторског права. У пракси га често користе хакери који покушавају да разбију лозинку украден са несигурних сервера Асхлеи Мадисон Леак нема велике понуде? Размислите поновоХакирана је дискретна веб локација за упознавање Асхлеи Мадисон (усмерена пре свега на варање супружника). Међутим, ово је далеко озбиљније питање него што је приказано у штампи, са знатним последицама на безбедност корисника. Опширније . Као споредни ефекат, ово га чини веома моћан начин за тестирање сигурности лозинке.

Напомена: овај водич је за Виндовс. Они од вас на Линуку могу да погледају видео доле како би добили идеју где да започнете.

Можете добити Хасхцат од хасхцат.нет интернет страница. Преузмите и распакујте је у фасциклу за преузимање. Даље, требат ћемо добити неке додатне податке за алат. Добићемо списак речи, који је у основи огромна база података лозинки које алат може користити као почетну тачку, посебно роцкиоу.ткт скупа података Преузмите је и залепите у мапу Хасхцат. Уверите се да је назив „роцкиоу.ткт“

Сада ће нам требати начин да направимо хешеве. Користићемо ВинМД5, који је лаган бесплатни алат који садржи посебне датотеке. Преузмите је, распакујте и испустите у Хасхцат директориј. Направићемо две нове текстуалне датотеке: хасхес.ткт и пассворд.ткт. Ставите оба у Хасхцат директориј.

То је то! Готови сте.

Народна историја хакерских ратова

Пре него што заправо користимо ову апликацију, поразговарајмо мало о томе како се лозинке заправо разбијају и како смо дошли до ове тачке.

Давно, у магловитој историји рачунарске науке, била је уобичајена пракса да веб локације складиште корисничке лозинке у обичном тексту. Чини се да то има смисла. Морате да проверите да ли је корисник послао исправну лозинку. Очигледан начин да то учините је да копирате лозинке у руци у малој датотеци негде и проверите да ли је лозинка корисника поднета на листи. Лако.

Ово је била велика катастрофа. Хакери би добили приступ серверу путем неке превртљиве тактике (попут питати пристојно), украсти листу лозинки, пријавити се и украсти нечији новац. Док су се истраживачи за безбедност одлучили да пуше олупину те катастрофе, било је јасно да морамо да учинимо нешто другачије. Решење је било распрскавање.

За оне који нису познати, а хасх функција Шта све ово МД5 издвајање хаљина заправо значи [објашњена технологија]Ево потпуног пада МД5, хеширање и мали преглед рачунара и криптографије. Опширније је део кода који узима информацију и математички га шифрира у део фиксне дужине. То се назива „распршивањем“ података. Супер је у томе што они иду само у једном правцу. Врло је лако узети податке и схватити њен јединствени хасх. Веома је тешко узети хасх и пронаћи информације које га генеришу. У ствари, ако користите случајну лозинку, морате испробати сваку могућу комбинацију да бисте је учинили, што је мање или више немогуће.

Они који следе код куће можда примете да хешеви имају заиста корисна својства за апликације за лозинку. Сада, уместо да чувате лозинку, можете да похраните хешеве лозинки. Када желите да верификујете лозинку, ставите је у хасх, обришите оригинал и проверите га са списком хешева. Све хасх функције дају исте резултате, тако да још увек можете потврдити да ли су послали исправне лозинке. Оно што је најважније, стварне лозинке у отвореном тексту никада се не чувају на серверу. Дакле, када хакери прекрше сервер, не могу да украду лозинку - само бескорисне хешеве. Ово функционише прилично добро.

Одговор хакера на то био је да потроше пуно времена и енергије долазећи са собом стварно паметни начини за поништавање хешева Опхцрацк - Алат за хакирање лозинки за пробијање готово било које лозинке за ВиндовсПостоји много различитих разлога због којих би неко желео да користи било који број алата за хакирање лозинки за хакирање Виндовс лозинке. Опширније .

Како функционише Хасхцат

За то можемо користити неколико стратегија. Једна од најтврдокорнијих је она коју користи Хасхцат, а то је да примети да корисници нису баш маштовити и имају тенденцију да бирају исте врсте лозинки.

На пример, већина лозинки састоји се од једне или две енглеске речи, неколико бројева и можда неке замене слова „леет-спеак“ или случајна употреба великих слова. Од одабраних речи, неке су вероватније од осталих: 'лозинка', име услуге, ваше корисничко име и 'здраво' популарне су. Дитто популарна имена кућних љубимаца и текуће године.

Знајући то, можете почети да генеришете врло вероватна нагађања о томе шта су можда изабрали различити корисници, што би вам (евентуално) требало да омогући тачно нагађање, разбијање хасх-а и приступање њиховој пријави акредитиви. Ово звучи као безнадежна стратегија, али запамтите да су рачунари смешно брзи. Савремени рачунар може да испроба милионе нагађања у секунди.

То ћемо данас радити. Претвараћемо се да су ваше лозинке на листи хасх-а у рукама злонамерног хакера и да покрећемо исти алат за хакирање који хакери користе на њима. Замислите то као ватру за ватру због ваше безбедности на мрежи. Да видимо како то иде!

Како се користи Хасхцат

Прво морамо да направимо хешеве. Отворите ВинМД5 и своју датотеку 'пассворд.ткт' (у бележници). Унесите једну од ваших лозинки (само једну). Сачувајте датотеку. Отворите га користећи ВинМД5. Видећете мали оквир који садржи хасх датотеке. Копирајте то у своју датотеку 'хасхес.ткт' и сачувајте га. Поновите ово додајући сваку датотеку у нову линију у датотеци 'хасхес.ткт', све док не добијете хасх за сваку лозинку коју рутински користите. Затим, само ради забаве, у задњу линију ставите реч „лозинка“.

Овде је вредно напоменути да МД5 није баш добар формат за чување хешева лозинки - прилично је брз за израчунавање, чинећи грубо форсирање одрживијим. Будући да радимо деструктивно тестирање, то је за нас плус. У стварном пропуштању лозинке наше би се лозинке распршиле помоћу Сцрипт-а или неке друге функције сигурног хасх-а, који се спорије тестирају. Коришћењем МД5 у основи можемо симулирати бацање на процес више снаге и времена него што то заправо имамо.

Затим проверите да ли је датотека хасхес.ткт сачувана и отворите Виндовс ПоверСхелл. Идите до мапе Хасхцат (цд .. иде на ниво, лс приказује тренутне датотеке и цд [име датотеке] уноси фасциклу у тренутни директориј). Сада откуцајте ./хасхцат-цли32.еке –хасх-типе = 0 - напад-режим = 8 хасхес.ткт роцкиоу.ткт.

Та наредба у основи каже „Покрените Хасхцат апликацију. Подесите га да ради на хасхеовима МД5 и користите напад „принц мод“ (који користи различите стратегије за стварање варијација на речима на списку). Покушајте да разбијете уносе у датотеци 'хасхес.ткт' и користите датотеку 'роцкиоу.ткт' као речник.

Притисните типку Ентер и прихватите ЕУЛА (што у основи каже „Кунем се кунем да нећу ништа хакирати са овим“), а затим пустите да се покрене. Хаш за лозинку би требало да се појави у секунди или две. После тога, само је питање чекања. Слабе лозинке ће се појавити за неколико минута на брзом, модерном ЦПУ-у. Уобичајене лозинке појавит ће се у неколико сати до дана или два. Јаке лозинке могу трајати веома дуго. Једна од мојих старијих лозинки пробијена је за мање од десет минута.

Ово можете оставити толико дуго колико желите. Предлажем вам барем преко ноћи или на рачунару док радите. Ако га направите за 24 сата, лозинка је вероватно довољно јака за већину апликација - мада то није гаранција. Хакери ће можда бити спремни да извршавају те нападе дуже вријеме или имају приступ бољој листи ријечи. Ако сумњате у сигурност лозинке, набавите бољу.

Моја лозинка је разбијена: шта сада?

Више од вероватно да неке од ваших лозинки нису издржане. Па како можете да створите јаке лозинке да бисте их заменили? Како се испоставило, заиста јака техника (популаризовао ккцд) је пролазна фраза. Отворите најближу књигу, пребаците је на случајну страницу и спусти прст на страницу. Узмите најближу именицу, глагол, придјев или прислов и запамтите га. Када имате четири или пет, ставите их заједно без размака, бројева или великих слова. НЕМОЈТЕ да користите „Исправни јастучић“. Нажалост, постао је популаран као лозинка и садржан је у многим списковима речи.

Један пример лозинке коју сам управо генерисао из антологије научне фантастике која је седела за мојим столом за каву је „ленедсомеартисансхармингдарлинг“ (ни ову не користите). Ово је много лакше запамтити од произвољног низа слова и бројева и вероватно је сигурније. Говорници енглеског језика имају радни речник од око 20.000 речи. Као резултат, за низ од пет насумично изабраних уобичајених речи, постоји 20 000 ^ 5, или око три могуће комбинације секстилија. То је далеко изван разумевања било ког тренутног бруталног напада.

Супротно томе, случајно изабрана лозинка од осам знакова синтетизоват ће се у знаковима, с око 80 могућности, укључујући велика слова, мала слова, бројеве, знакове и размаке. 80 ^ 8 је само куадриллион. То и даље звучи велико, али разбијање је заправо у оквиру могућности. Имајући у виду десет врхунских десктоп рачунара (од којих сваки може да направи око десет милиона хешева у секунди), то могли би да буду на силу за неколико месеци - а безбедност се потпуно распада ако није насумично. Такође је много теже запамтити.

Друга могућност је да користите лозинку, који може да генерише сигурне лозинке за вас у лету, а све се могу откључати помоћу једне главне лозинке. И даље морате да изаберете заиста добру главну лозинку (и ако је заборавите, у невољи сте) - али ако се хасхери ваше лозинке провуку у кршење веб локација, имате јак додатни слој сигурности.

Стална будност

Добра сигурност лозинке није превише тешка, али захтијева да будете свјесни проблема и подузмите кораке да бисте остали сигурни. Ова врста деструктивног тестирања може бити добар позив за буђење. Једна је ствар, интелектуално знати, да ваше лозинке могу бити несигурне. Друга је ствар да се то заиста види са Хасхцат-а после неколико минута.

Како су се задржале лозинке? Јавите нам у коментарима!