Skelbimas
Ar jūsų slaptažodis saugus? Visi esame girdėję daugybę patarimų, kokių slaptažodžių niekada neturėtumėte pasirinkti. Be to, yra įvairių įrankių, įvertinti slaptažodžio saugumą internete Įdėkite savo slaptažodžius atlikdami įtrūkimų testą naudodamiesi šiais penkiais slaptažodžio tvirtumo įrankiaisVisi mes perskaitėme nemažą dalį klausimų, kaip sugadinti slaptažodį. Galima drąsiai teigti, kad dauguma jų yra skirti klastingiems, o ne smalsiems tikslams. Pažeidus slaptažodžius ... Skaityti daugiau . Tačiau tai gali būti tik abejotinai tiksli. Vienintelis būdas iš tikrųjų išbandyti slaptažodžių saugumą yra bandyti juos sugriauti.
Taigi šiandien mes padarysime būtent tai. Aš jums parodysiu, kaip naudoti įrankį, kurį tikri įsilaužėliai naudoja slaptažodžiams nulaužti, ir parodysiu, kaip jį naudoti norint patikrinti jūsų. Jei nepavyks atlikti bandymo, parodysiu, kaip pasirinkti saugesnius slaptažodžius bus palauk.
„Hashcat“ nustatymas
Įrankis, kurį naudosime, vadinamas „Hashcat“. Oficialiai jis skirtas
Slaptažodžio grąžinimas 6 nemokami „Windows“ slaptažodžio atkūrimo įrankiai Skaityti daugiau , bet praktiškai tai šiek tiek primena posakį „BitTorrent“ Sumušti pūtimą! Išbandykite šiuos lengvuosius „BitTorrent“ klientusPistoletai nesidalija nelegaliais failais. Žmonės dalijasi nelegaliais failais. Arba palaukite, kaip tai vėl praeis? Noriu pasakyti, kad „BitTorrent“ neturėtų būti išskaidytas atsižvelgiant į jo piratavimo galimybes. Skaityti daugiau skirtas atsisiųsti ne autorių teisių saugomus failus. Praktiškai jį dažnai naudoja įsilaužėliai, bandantys sugadinti slaptažodžius pavogta iš nesaugių serverių Ashley Madison nutekėjimas Nėra didelio sandorio? Pagalvok dar kartąDiskretiška internetinių pažinčių svetainė Ashley Madison (skirta pirmiausia sutuoktiniams apgauti) buvo nulaužta. Tačiau tai yra daug rimtesnė problema, nei buvo aprašyta spaudoje, turinti didelę įtaką vartotojų saugai. Skaityti daugiau . Kaip šalutinis poveikis tai daro labai galingu slaptažodžių saugumo tikrinimo būdu.Pastaba: ši instrukcija skirta „Windows“. Tie iš jūsų „Linux“ gali peržiūrėti toliau pateiktą vaizdo įrašą, kur rasite idėją, nuo ko pradėti.
„Hashcat“ galite gauti iš hashcat.net tinklo puslapis. Atsisiųskite ir išpakuokite jį į savo parsisiuntimų aplanką. Toliau mums reikės kai kurių pagalbinių įrankio duomenų. Mes ketiname įsigyti žodžių sąrašą, kuris iš esmės yra didžiulė slaptažodžių duomenų bazė, kurią įrankis gali naudoti kaip atskaitos tašką, ypač rockyou.txt duomenų rinkinys. Atsisiųskite jį ir įklijuokite į „Hashcat“ aplanką. Įsitikinkite, kad jis pavadintas „rockyou.txt“
Dabar mums reikės būdo, kaip sugeneruoti maišus. Mes naudosime „WinMD5“, kuris yra lengvas nemokamos programos įrankis, maišantis konkrečius failus. Atsisiųskite jį, išpakuokite jį ir įmeskite į „Hashcat“ katalogą. Mes sukursime du naujus teksto failus: hashes.txt ir password.txt. Įrašykite abu į „Hashcat“ katalogą.
Viskas! Jūs baigėte.
Piratų karų žmonių istorija
Prieš iš tikrųjų naudodamiesi šia programa, pakalbėkime šiek tiek apie tai, kaip slaptažodžiai iš tikrųjų sugenda ir kaip mes pasiekėme šią vietą.
Grįžtant į miglotą informatikos istoriją, interneto svetainėse buvo įprasta saugoti vartotojo slaptažodžius paprastu tekstu. Panašu, kad tai prasminga. Turite įsitikinti, kad vartotojas atsiuntė teisingą slaptažodį. Akivaizdus būdas tai padaryti yra laikyti rankiniu būdu slaptažodžių kopijas mažame faile ir patikrinti, ar vartotojo pateiktas slaptažodis atitinka sąrašą. Lengva.
Tai buvo didžiulė nelaimė. Piratai galėtų patekti į serverį naudodamiesi apgaulinga taktika (pvz., klausia mandagiai), pavogti slaptažodžių sąrašą, prisijungti ir pavogti visų pinigus. Kai saugumo tyrinėtojai išsirinko iš tos nelaimės rūkymo nuolaužų, buvo aišku, kad turime elgtis kitaip. Tirpalas buvo maišantis.
Tiems, kurie nėra pažįstami, a maišos funkcija Ką iš tikrųjų reiškia visa tai, kas nutiko MD5, [paaiškinta apie technologiją]Čia yra visas MD5 sunaikinimas, maišos ir nedidelė kompiuterių ir kriptografijos apžvalga. Skaityti daugiau yra kodo dalis, kuri paima informacijos ir matematiškai ją suskaido į fiksuoto ilgio daiktavardį. Tai vadinama duomenų maiša. Nuostabu, kad jie eina tik viena kryptimi. Labai lengva paimti informacijos ir išsiaiškinti jos unikalų maišos momentą. Labai sunku paimti maišos formą ir rasti ją generuojančią informaciją. Tiesą sakant, jei naudojate atsitiktinį slaptažodį, turite išbandyti visus įmanomus derinius, o tai yra daugiau ar mažiau neįmanoma.
Tie iš jūsų, kurie sekate namuose, gali pastebėti, kad maišos turi keletą tikrai naudingų savybių, naudojamų slaptažodžio programoms. Dabar, užuot saugoję slaptažodį, galite išsaugoti slaptažodžių maišus. Kai norite patvirtinti slaptažodį, jį turite maišyti, ištrinti originalą ir patikrinti jį naudodami maišos sąrašą. Visos maišos funkcijos teikia tuos pačius rezultatus, todėl vis tiek galite patikrinti, ar jie pateikė teisingus slaptažodžius. Svarbu tai, kad tikrieji paprasto teksto slaptažodžiai niekada nėra saugomi serveryje. Taigi, kai įsilaužėliai pažeidžia serverį, jie negali pavogti jokių slaptažodžių - tik nenaudingas maišas. Tai veikia pakankamai gerai.
Įsilaužėlių atsakymas į tai turėjo sugaišti daug laiko ir energijos tikrai protingi būdai, kaip pakeisti maišus „Ophcrack“ - slaptažodžio nulaužimo įrankis, norint nulaužti beveik bet kurį „Windows“ slaptažodįYra daugybė įvairių priežasčių, kodėl norima nugriauti „Windows“ slaptažodį, naudoti daugybę slaptažodžio nulaužimo įrankių. Skaityti daugiau .
Kaip veikia „Hashcat“
Tam galime naudoti keletą strategijų. Vienas iš patikimiausių yra tas, kurį naudoja „Hashcat“, tai yra pastebėti, kad vartotojai nėra labai įsivaizduojantys ir linkę pasirinkti tas pačias slaptažodžius.
Pvz., Didžiąją dalį slaptažodžių sudaro vienas ar du angliški žodžiai, pora skaičių ir galbūt keletas „kalbėkime“ raidžių pakeitimų arba atsitiktinės didžiosios raidės. Iš pasirinktų žodžių vieni yra labiau linkę nei kiti: „slaptažodis“, paslaugos pavadinimas, jūsų vartotojo vardas ir „labas“ yra populiarūs. Šie populiarūs naminių gyvūnėlių vardai ir šie metai.
Žinodami tai, galite pradėti generuoti labai patikimas spėliones apie tai, ką galėjo pasirinkti skirtingi vartotojai, kurie turėtų (galų gale) leisti teisingai atspėti, sulaužyti maišos ir gauti prieigą prie jų prisijungimo įgaliojimai. Tai skamba kaip beviltiška strategija, tačiau atminkite, kad kompiuteriai juokingi. Šiuolaikinis kompiuteris gali išbandyti milijonus spėjimų per sekundę.
Tai mes darysime šiandien. Mes apsimesime, kad jūsų slaptažodžiai patenka į maišos sąrašą, esant kenksmingų įsilaužėlių rankoms, ir paleis tą patį maišos krekingo įrankį, kurį jiems naudoja įsilaužėliai. Pagalvokite apie tai kaip priešgaisrinį gręžtuvą savo internetiniam saugumui. Pažiūrėkime, kaip viskas vyksta!
Kaip naudotis „Hashcat“
Pirmiausia turime sugeneruoti maišus. Atidarykite „WinMD5“ ir failą „slaptažodis.txt“ (užrašų knygelėje). Įveskite vieną iš savo slaptažodžių (tik vieną). Įrašykite failą. Atidarykite jį naudodami WinMD5. Pamatysite nedidelį langelį, kuriame yra failo maišos. Nukopijuokite tai į failą „hashes.txt“ ir išsaugokite. Pakartokite tai, pridėdami kiekvieną failą naujoje failo „hashes.txt“ eilutėje, kol gausite maišalynę už kiekvieną įprastą slaptažodį. Tada, kaip tik linksmybėms, įdėkite maišos žodį „slaptažodis“ kaip paskutinę eilutę.
Čia verta paminėti, kad MD5 nėra labai tinkamas slaptažodžių maišos saugojimo formatas - jis gana greitai apskaičiuojamas, todėl žiaurus privertimas yra gyvybingesnis. Kadangi mes darome destruktyvius bandymus, tai iš tikrųjų yra mūsų pliusas. Esant tikram slaptažodžių nutekėjimui, mūsų slaptažodžiai būtų sumaišyti su „Scrypt“ ar kokia nors kita saugaus maišos funkcija, kurios bandomos lėčiau. Naudodami MD5, mes iš esmės galime imituoti, kad sunaudosime daug daugiau procesų galios ir laiko problemai, nei mes iš tikrųjų turime.
Tada įsitikinkite, kad failas „hashes.txt“ buvo išsaugotas, ir atidarykite „Windows PowerShell“. Eikite į aplanką „Hashcat“ (CD .. pakyla aukščiau, ls pateikia dabartinių failų sąrašą ir CD [failo vardas] įveda aplanką į dabartinį katalogą). Dabar įveskite ./hashcat-cli32.exe –hash-type = 0 –attack-mode = 8 hashes.txt rockyou.txt.
Ši komanda iš esmės sako: „Paleiskite„ Hashcat “programą. Nustatykite, kad jis veiktų MD5 maišos metu, ir naudokite „princo režimo“ priepuolį (kuris naudoja daugybę skirtingų strategijų sąrašo žodžių variacijoms kurti). Pabandykite nutraukti įrašus faile „hashes.txt“ ir naudokite failą „rockyou.txt“ kaip žodyną.
Paspauskite „Enter“ ir sutikite su EULA (kurioje iš esmės sakoma: „Aš rožinis prisiekiu, kad nieko su tuo nesikirsiu“) ir tada paleiskite. Slaptažodžio maišas turėtų pasirodyti per sekundę ar dvi. Po to tereikia laukti. Silpni slaptažodžiai greitai atsiras greitame, moderniame procesoriuje. Įprasti slaptažodžiai pasirodys per porą valandų ar dieną ar dvi. Tvirti slaptažodžiai gali užtrukti labai ilgai. Vienas mano senesnių slaptažodžių buvo sulaužytas per dešimt minučių.
Galite palikti šį bėgimą tol, kol jaučiatės. Aš siūlau bent per naktį arba kompiuteryje, kol jūs darbe. Jei tai padarysite 24 valandas, jūsų slaptažodis tikriausiai yra pakankamai stiprus daugeliui programų - nors tai nėra garantija. Piratai gali būti linkę ilgą laiką vykdyti šias atakas arba turėti prieigą prie geresnio žodžių sąrašo. Jei abejojate slaptažodžių saugumu, įsigykite geresnį.
Mano slaptažodis buvo sugadintas: o kas?
Daugiau nei tikėtina, kad kai kurie jūsų slaptažodžiai neatlaikė. Taigi, kaip galite sukurti stiprius slaptažodžius, kad juos pakeistumėte? Kaip paaiškėja, tikrai stipri technika (išpopuliarino xkcd) yra frazės. Atidarykite artimiausią knygą, perkelkite į atsitiktinį puslapį ir padėkite pirštą žemyn ant puslapio. Paimkite artimiausią daiktavardį, veiksmažodį, būdvardį ar prieveiksmį ir atsiminkite. Kai turite keturis ar penkis, ištraukite juos be tarpų, skaičių ir didžiosios raidės. NENAUDOKITE „teisingo šabloninio pavyzdžio“. Deja, jis tampa populiarus kaip slaptažodis ir yra įtrauktas į daugelį žodžių sąrašų.
Vienas slaptažodžio pavyzdys, kurį ką tik sugeneravau iš mokslinės fantastikos antologijos, sėdinčio ant mano kavos stalo, yra „leanedsomeartisansharmingdarling“ (taip pat nenaudokite šio). Tai yra daug lengviau įsimenamas nei savavališka raidžių ir skaičių eilutė ir tikriausiai yra saugesnė. Gimtosios anglų kalbos žodynas yra apie 20 000 žodžių. Dėl to penkių atsitiktinai pasirinktų bendrinių žodžių seka yra 20 000 ^ 5 arba maždaug trys galimi lytiniai santykiai. Tai yra kur kas daugiau nei bet koks dabartinis brutalios jėgos išpuolis.
Priešingai, atsitiktinai pasirinktas aštuonių ženklų slaptažodis būtų susintetinamas pagal ženklus. Yra apie 80 galimybių, įskaitant didžiąsias ir mažąsias raides, skaičius, ženklus ir tarpus. 80 ^ 8 yra tik kvadrilijonas. Tai vis dar skamba dideliu mastu, tačiau jo sulaužymas iš tikrųjų yra galimybių sfera. Atsižvelgiant į dešimt aukščiausios klasės stalinių kompiuterių (kiekvienas iš jų gali padaryti apie dešimt milijonų maišos per sekundę), tai po kelių mėnesių gali būti priverstas prievarta - ir, jei tai nėra, saugumas visiškai išnyksta atsitiktinai. Tai taip pat sunkiau atsiminti.
Kita galimybė yra naudoti slaptažodžių tvarkyklę, kuri gali generuoti saugius slaptažodžius jums skrendant, kuriuos visus galima „atrakinti“ naudojant vieną pagrindinį slaptažodį. Jūs vis tiek turite pasirinkti tikrai gerą pagrindinį slaptažodį (o jei jį pamiršite - kyla problemų) - tačiau jei slaptažodžių maišos nutekėjo pažeidus svetainę, turite didelę papildomą apsaugą.
Nuolatinis budrumas
Tinkama slaptažodžių apsauga nėra labai sunki, tačiau ji reikalauja, kad jūs žinotumėte apie šią problemą ir imtumėtės saugos priemonių. Toks destruktyvus bandymas gali būti geras žadinimo skambutis. Intelektualiai svarbu žinoti, kad slaptažodžiai gali būti nesaugūs. Kitas dalykas yra tai, kad po kelių minučių jis pasirodys iš Hashcat.
Kaip jūsų slaptažodžiai sustojo? Praneškite mums komentaruose!
Rašytojas ir žurnalistas, įsikūręs Pietvakariuose, garantuoja, kad Andre išliks funkcionalus iki 50 laipsnių Celsijaus ir yra atsparus vandeniui iki dvylikos pėdų gylio.