La tua password è sicura? Abbiamo tutti sentito molti consigli su quali tipi di password non dovresti mai scegliere e ci sono vari strumenti che pretendono di valutare la sicurezza della tua password online Metti le tue password attraverso il test del crack con questi cinque strumenti di potenziamento delle password Metti le tue password Attraverso The Crack Test con questi cinque strumenti per la sicurezza delle password Tutti noi abbiamo letto una buona parte delle domande "come faccio a craccare una password". È sicuro dire che la maggior parte di loro sono per scopi nefandi piuttosto che curiosi. Violazione delle password ... Leggi di più. Tuttavia, questi possono solo essere dubbiosamente accurati. L'unico modo per testare veramente la sicurezza delle tue password è cercare di infrangerle.
Quindi oggi faremo proprio questo. Ti mostrerò come utilizzare uno strumento che i veri hacker usano per decifrare le password e mostrarti come usarlo per controllare il tuo. E, se fallisce il test, ti mostrerò come scegliere password più sicure che reggeranno.
Impostazione di Hashcat
Lo strumento che utilizzeremo è chiamato Hashcat. Ufficialmente, è inteso per il recupero della password 6 Strumenti gratuiti di recupero password per Windows 6 Strumenti gratuiti per recuperare le password per Windows Ulteriori informazioni, ma in pratica questo è un po 'come dire BitTorrent Beat the Bloat! Prova questi client BitTorrent leggeri Batti il Bloat! Prova queste pistole dei client BitTorrent leggere non condividono file illegali. Le persone condividono file illegali. O, aspetta, come va di nuovo? Quello che intendo dire è che BitTorrent non dovrebbe essere dissedito in base al suo potenziale di pirateria. Per saperne di più è previsto il download di file non protetti da copyright. In pratica, viene spesso utilizzato dagli hacker che cercano di violare le password rubate da server insicuri Ashley Madison Leak No Big Deal? Pensa ancora Ashley Madison Leak No Big Deal? Pensa di nuovo Discreet sito di appuntamenti online Ashley Madison (destinato principalmente ai coniugi truffatori) è stato violato. Tuttavia questo è un problema molto più serio di quello che è stato descritto dalla stampa, con notevoli implicazioni per la sicurezza degli utenti. Leggi di più . Come effetto collaterale, questo lo rende un modo molto potente per testare la sicurezza della password.
Nota: questo tutorial è per Windows. Chi di voi su Linux può controllare il video qui sotto per avere un'idea di dove iniziare.
Puoi ottenere Hashcat dalla pagina web di hashcat.net. Scarica e decomprimi nella cartella dei download. Successivamente, avremo bisogno di ottenere alcuni dati ausiliari per lo strumento. Acquisiremo una lista di parole, che è fondamentalmente un enorme database di password che lo strumento può utilizzare come punto di partenza, in particolare il set di dati rockyou.txt. Scaricalo e incollalo nella cartella Hashcat. Assicurati che sia chiamato "rockyou.txt"
Ora avremo bisogno di un modo per generare gli hash. Useremo WinMD5, che è uno strumento leggero e gratuito che contiene file specifici. Scaricalo, decomprimilo e trascinalo nella directory di Hashcat. Creeremo due nuovi file di testo: hashes.txt e password.txt. Metti entrambi nella directory di Hashcat.
Questo è tutto! Hai finito.
Una storia popolare delle guerre hacker
Prima di utilizzare effettivamente questa applicazione, parliamo un po 'di come le password vengono effettivamente violate e come siamo arrivati a questo punto.
Nel passato, nella nebbiosa storia dell'informatica, era prassi normale che i siti web memorizzassero le password degli utenti in formato testo. Sembra che abbia senso. È necessario verificare che l'utente abbia inviato la password corretta. Un modo ovvio per farlo è quello di mantenere una copia delle password a portata di mano in un piccolo file da qualche parte, e controllare la password inviata dall'utente contro l'elenco. Facile.
Questo è stato un enorme disastro. Gli hacker otterrebbero l'accesso al server tramite qualche tattica subdola (come chiedere educatamente), rubare l'elenco delle password, accedere e rubare i soldi a tutti. Mentre i ricercatori della sicurezza si rialzavano dal relitto fumante di quel disastro, era chiaro che dovevamo fare qualcosa di diverso. La soluzione era l'hashing.
Per chi non lo conoscesse, una funzione di hash Cosa significa Tutto questo MD5 Hash Stuff [Spiegazione della tecnologia] Che cosa significa tutto questo MD5 Hash Stuff significa [Spiegazione della tecnologia] Ecco un completo downdown di MD5, hashing e una piccola panoramica di computer e crittografia . Read More è un pezzo di codice che prende un pezzo di informazione e lo rimescola matematicamente in un pezzo di gibberish a lunghezza fissa. Questo è chiamato 'hashing' i dati. Ciò che è bello di loro è che vanno solo in una direzione. È molto facile prendere un'informazione e capire il suo hash unico. È molto difficile prendere un hash e trovare un'informazione che lo genera. Infatti, se usi una password casuale, devi provare ogni combinazione possibile per farlo, che è più o meno impossibile.
Quelli che seguono a casa potrebbero notare che gli hash hanno alcune proprietà veramente utili per le applicazioni di password. Ora, invece di memorizzare la password, è possibile memorizzare gli hash delle password. Quando si desidera verificare una password, l'hash, eliminare l'originale e confrontarlo con l'elenco di hash. Le funzioni di hash forniscono tutti gli stessi risultati, quindi è ancora possibile verificare che abbiano inviato le password corrette. Fondamentalmente, le password in chiaro non vengono mai memorizzate sul server. Quindi, quando gli hacker violano il server, non possono rubare alcuna password - solo hash inutili. Funziona abbastanza bene.
La risposta degli hacker a questo è stato spendere un sacco di tempo ed energia per inventare metodi intelligenti per rovesciare gli hash Ophcrack - Uno strumento per hackerare password per craccare quasi ogni password di Windows Ophcrack - Uno strumento per hackerare password per quasi ogni password di Windows Ci sono molte ragioni diverse per cui uno vorrebbe utilizzare un numero qualsiasi di strumenti di hacking della password per hackerare una password di Windows. Leggi di più .
Come funziona Hashcat
Possiamo usare diverse strategie per questo. Uno dei più robusti è quello che usa Hashcat, il che significa che gli utenti non sono molto fantasiosi e tendono a scegliere lo stesso tipo di password.
Ad esempio, la maggior parte delle password consiste di una o due parole inglesi, un paio di numeri e forse alcune sostituzioni di lettere "leet-speak" o lettere maiuscole casuali. Tra le parole selezionate, alcune sono più probabili di altre: "password", il nome del servizio, il tuo nome utente e "ciao" sono tutti popolari. Idem nomi popolari di animali domestici, e l'anno in corso.
Sapendo questo, puoi iniziare a generare supposizioni molto plausibili su ciò che potrebbero aver scelto diversi utenti, che dovrebbero (eventualmente) permetterti di indovinare correttamente, interrompere l'hash e accedere alle credenziali di accesso. Sembra una strategia senza speranza, ma ricorda che i computer sono ridicolmente veloci. Un computer moderno può provare milioni di ipotesi al secondo.
Questo è quello che faremo oggi. Faremo finta che le tue password siano in un elenco di hash nelle mani di un hacker malintenzionato e che eseguano lo stesso strumento di hash-cracking che gli hacker utilizzano su di loro. Pensala come una esercitazione antincendio per la tua sicurezza online. Vediamo come va!
Come usare Hashcat
Innanzitutto, dobbiamo generare gli hash. Apri WinMD5 e il tuo file 'password.txt' (nel blocco note). Inserisci una delle tue password (una sola). Salva il file. Aprilo usando WinMD5. Vedrai una piccola scatola contenente l'hash del file. Copia questo nel tuo file "hashes.txt" e salvalo. Ripeti l'operazione, aggiungendo ogni file a una nuova riga nel file 'hashes.txt', finché non avrai un hash per ogni password che usi abitualmente. Quindi, solo per divertimento, inserisci l'hash per la parola 'password' come ultima riga.
Vale la pena notare che MD5 non è un ottimo formato per l'archiviazione degli hash delle password: è piuttosto veloce da calcolare, rendendo la forzatura bruta più praticabile. Dal momento che stiamo facendo test distruttivi, questo è in realtà un vantaggio per noi. In una vera perdita di password, le nostre password sarebbero state sottoposte a hash con Scrypt o qualche altra funzione di hash sicura, che è più lenta da testare. Usando MD5, possiamo essenzialmente simulare il lancio di molta più potenza e tempo di elaborazione del problema rispetto a quanto effettivamente disponibile.
Quindi, assicurarsi che il file "hashes.txt" sia stato salvato e richiamare Windows PowerShell. Passare alla cartella Hashcat ( cd .. sale di un livello, ls elenca i file correnti e cd [nome file] entra in una cartella nella directory corrente). Ora digita ./hashcat-cli32.exe -hash-type = 0 -attack-mode = 8 hashes.txt rockyou.txt .
Questo comando dice fondamentalmente "Esegui l'applicazione Hashcat. Impostalo per lavorare sugli hash MD5 e usa un attacco "modalità principe" (che usa una varietà di strategie diverse per creare variazioni sulle parole nella lista). Prova a interrompere le voci nel file "hashes.txt" e utilizza il file "rockyou.txt" come dizionario.
Hit enter, e accetta l'EULA (che in pratica dice "I mignolo giuro che non inciderò nulla con questo"), e poi lascerò correre. L'hash per la password dovrebbe apparire in un secondo o due. Dopo ciò, è solo una questione di attesa. Le password deboli si trasformeranno in pochi minuti in una CPU moderna e veloce. Le normali password appariranno tra un paio d'ore e un giorno o due. Le password complesse possono richiedere molto tempo. Una delle mie password più vecchie è stata interrotta in meno di dieci minuti.
Puoi lasciarlo attivo per tutto il tempo che desideri. Suggerisco almeno durante la notte, o sul tuo PC mentre sei al lavoro. Se lo fai 24 ore, probabilmente la tua password è abbastanza forte per la maggior parte delle applicazioni, anche se questa non è una garanzia. Gli hacker potrebbero essere disposti a eseguire questi attacchi per un lungo periodo o avere accesso a una lista di parole migliore. In caso di dubbi sulla sicurezza della password, ottenerne una migliore.
La mia password è stata interrotta: ora cosa?
Più che probabile, alcune delle tue password non hanno tenuto il passo. Quindi, come puoi generare password complesse per sostituirli? A quanto pare, una tecnica molto forte (resa popolare da xkcd) è pass-frasi. Apri un libro più vicino, scorri in una pagina a caso e appoggia il dito su una pagina. Prendi il nome, il verbo, l'aggettivo o l'avverbio più vicini e ricordalo. Quando ne hai quattro o cinque, mescoli insieme senza spazi, numeri o maiuscole. NON usare "correcthorsebatterystaple". Sfortunatamente è diventato popolare come password ed è incluso in molte liste di parole.
Un esempio di password che ho appena generato da un'antologia di fantascienza che era seduto sul mio tavolino da caffè è "leanedsomeartisansharmingdarling" (non usare neanche questo). È molto più facile da ricordare rispetto a una stringa arbitraria di lettere e numeri, ed è probabilmente più sicuro. I madrelingua inglesi hanno un vocabolario di lavoro di circa 20.000 parole. Di conseguenza, per una sequenza di cinque parole comuni scelte a caso, ci sono 20.000 ^ 5, o circa tre sextillion possibili combinazioni. Questo è ben oltre la portata di qualsiasi attacco di forza bruta in corso.
Al contrario, una password di otto caratteri scelta casualmente verrebbe sintetizzata in termini di caratteri, con circa 80 possibilità tra cui maiuscole, minuscole, numeri, caratteri e spazi. 80 ^ 8 è solo un quadrilione. Sembra ancora grande, ma spezzarlo è in realtà nel regno delle possibilità. Dato dieci computer desktop di fascia alta (ognuno dei quali può fare circa dieci milioni di hash al secondo), ciò potrebbe essere bruto-forzato in pochi mesi - e la sicurezza cade a pezzi se non è in realtà casuale. È anche molto più difficile da ricordare.
Un'altra opzione è quella di utilizzare un gestore di password, che può generare password sicure per te al volo, ognuna delle quali può essere 'sbloccata' usando una sola password principale. Devi ancora scegliere una buona password principale (e se la dimentichi, sei nei guai) - ma se gli hash delle password sono trapelati in una violazione del sito web, hai un ulteriore livello di sicurezza.
Vigilanza costante
La buona protezione della password non è molto difficile, ma richiede di essere a conoscenza del problema e adottare misure per rimanere al sicuro. Questo tipo di test distruttivi può essere una buona sveglia. Una cosa è sapere, intellettualmente, che le tue password potrebbero essere insicuri. E 'un altro in realtà vederlo uscire da Hashcat dopo pochi minuti.
Come hanno fatto le tue password? Fateci sapere nei commenti!