Reklama
Je vaše heslo bezpečné? Všetci sme počuli veľa rád o tom, aké druhy hesiel by ste si nikdy nemali vybrať - a existujú rôzne nástroje, ktoré si nárokujú posúdiť bezpečnosť svojho hesla online Dajte svoje heslá pomocou Crack testu s týmito piatimi nástrojmi sily heslaVšetci sme si prečítali spravodlivý podiel otázok „ako rozlúštim heslo“. Dá sa s istotou povedať, že väčšina z nich je skôr na nekalé účely než na zvídavé účely. Porušovanie hesiel ... Čítaj viac . Môžu však byť iba pochybné presné. Jediným spôsobom, ako skutočne otestovať bezpečnosť hesiel, je pokúsiť sa ich porušiť.
Dnes to teda urobíme. Ukážem vám, ako používať nástroj, ktorý skutoční hackeri používajú na prelomenie hesiel, a ukážem vám, ako ho použiť na kontrolu vašich. A ak test zlyhá, ukážem vám, ako si vybrať bezpečnejšie heslá vôľa vydrž.
Nastavenie zariadenia Hashcat
Nástroj, ktorý budeme používať, sa nazýva Hashcat. Oficiálne je to určené obnova hesla 6 bezplatných nástrojov na obnovenie hesla pre Windows Čítaj viac
, ale v praxi je to trochu ako hovoriť BitTorrent Beat the Bloat! Vyskúšajte týchto ľahkých klientov BitTorrentZbrane nezdieľajú nelegálne súbory. Ľudia zdieľajú nelegálne súbory. Alebo počkajte, ako to ide znova? Chcem tým povedať, že by sa BitTorrent nemal zneužívať na základe jeho potenciálu pirátstva. Čítaj viac je určený na stiahnutie súborov bez autorských práv. V praxi sa často používa hackerom, ktorí sa pokúšajú prelomiť heslá ukradnuté z nezabezpečených serverov Ashley Madison Leak Žiadny veľký problém? Zamysli sa znovaDiskrétna stránka s diskrétnou online zoznamkou Ashley Madison (zameraná predovšetkým na podvádzanie manželov / manželiek). Je to však oveľa vážnejší problém, ako sa uvádza v tlači, čo má značné dôsledky pre bezpečnosť používateľov. Čítaj viac . Vedľajším účinkom je veľmi efektívny spôsob testovania bezpečnosti hesla.Poznámka: tento návod je určený pre Windows. Tí z vás v systéme Linux si môžu pozrieť video nižšie, kde sa dozviete, kde začať.
Môžete získať Hashcat z internetu hashcat.net webstránka. Stiahnite a rozbaľte ho do priečinka pre sťahovanie. Ďalej budeme potrebovať nejaké doplňujúce údaje pre tento nástroj. Chystáme sa získať zoznam slov, čo je v podstate obrovská databáza hesiel, ktoré môže nástroj použiť ako východiskový bod, konkrétne rockyou.txt súbor údajov. Stiahnite si ho a prilepte ho do priečinka Hashcat. Uistite sa, že má názov „rockyou.txt“
Teraz budeme potrebovať spôsob, ako vygenerovať hashe. Budeme používať WinMD5, čo je ľahký freewarový nástroj, ktorý hashuje konkrétne súbory. Stiahnite si ho, rozbaľte ho a vložte do adresára Hashcat. Vytvoríme dva nové textové súbory: hashes.txt a password.txt. Vložte obidva do adresára Hashcat.
To je všetko! Ste hotoví.
Ľudová história hackerských vojen
Predtým, ako túto aplikáciu skutočne použijeme, povedzme si trochu o tom, ako sa heslá skutočne porušujú a ako sme sa dostali k tomuto bodu.
Cesta späť do hmlistej histórie informatiky bola pre webové stránky štandardnou praxou ukladať používateľské heslá vo formáte obyčajného textu. Zdá sa, že to dáva zmysel. Musíte overiť, či používateľ odoslal správne heslo. Zvyčajný spôsob, ako to urobiť, je nechať si niekde v kópii hesiel po ruke a skontrolovať zadané heslo používateľa v zozname. Jednoduchá.
Bola to veľká katastrofa. Hackeri by získali prístup k serveru pomocou nejakej pochybnej taktiky (napr spýtať sa zdvorilo), ukradnúť zoznam hesiel, prihlásiť sa a ukradnúť peniaze všetkých. Keď sa vedci v oblasti bezpečnosti zdvihli z fajčenia v troskách tejto katastrofy, bolo jasné, že musíme urobiť niečo iné. Roztok bol hashovaný.
Pre tých, ktorí nie sú oboznámení, a hašovacia funkcia Čo to všetko vlastne znamená, že látka MD5 značí [vysvetlenie technológie]Tu je úplné zhrnutie MD5, hashovanie a malý prehľad počítačov a kryptografie. Čítaj viac je kúsok kódu, ktorý berie časť informácií a matematicky ich roztriešti na kúsok s pevnou dĺžkou. Toto sa nazýva „hashovanie“ údajov. Čo je na nich v pohode, je to, že idú iba jedným smerom. Je veľmi ľahké zobrať kus informácií a zistiť jeho jedinečný hash. Je veľmi ťažké urobiť hash a nájsť informácie, ktoré ich generujú. V skutočnosti, ak používate náhodné heslo, musíte vyskúšať každú možnú kombináciu, aby ste to urobili, čo je viac-menej nemožné.
Tí z vás, ktorí sledujete doma, si môžu všimnúť, že hash má niektoré skutočne užitočné vlastnosti pre aplikácie týkajúce sa hesiel. Teraz si namiesto uloženia hesla môžete uložiť hash hesiel. Ak si chcete overiť heslo, musíte ho hashovať, odstrániť originál a skontrolovať ho oproti zoznamu hashov. Všetky funkcie hash poskytujú rovnaké výsledky, takže stále môžete overiť, či zadali správne heslá. Je dôležité, že skutočné heslá prostého textu sa na serveri nikdy neukladajú. Keď hackeri poruší server, nemôžu ukradnúť žiadne heslá - iba zbytočné hashe. Funguje to primerane dobre.
Hackeri na to reagovali tým, že strávili veľa času a energie prichádzajúcimi s naozaj chytré spôsoby, ako zvrátiť hash Ophcrack - Password Hack Tool prelomiť takmer akékoľvek heslo systému WindowsExistuje veľa rôznych dôvodov, prečo by ste chceli použiť ľubovoľný počet nástrojov na hackovanie hesla na hackovanie hesla systému Windows. Čítaj viac .
Ako Hashcat funguje
Môžeme na to použiť niekoľko stratégií. Jeden z najrobustnejších je ten, ktorý používa Hashcat, ktorý si všimol, že používatelia nie sú veľmi nápadití a majú tendenciu vyberať si rovnaké druhy hesiel.
Napríklad väčšina hesiel pozostáva z jedného alebo dvoch anglických slov, niekoľkých čísiel a možno aj z nahradenia písmen „leet-Speak“ alebo náhodného písania veľkých písmen. Niektoré zo zvolených slov sú pravdepodobnejšie než iné: „heslo“, názov služby, vaše používateľské meno a „ahoj“ sú populárne. Ditto populárne mená domácich miláčikov a aktuálny rok.
S týmto vedomím môžete začať vytvárať veľmi hodnoverné odhady o tom, čo si mohli vybrať rôzni používatelia, čo by malo (prípadne) umožniť správne uhádnuť, prerušiť hash a získať prístup k ich prihláseniu poverenia. Znie to ako beznádejná stratégia, ale nezabudnite, že počítače sú smiešne rýchle. Moderný počítač môže vyskúšať milióny odhadov za sekundu.
Toto robíme dnes. Budeme predstierať, že vaše heslá sú na zozname hashov v rukách škodlivého hackera a spúšťame rovnaký hashovací nástroj, ktorý hackeri používajú. Myslite na to ako na cvičenie na hasenie požiaru pre vašu online bezpečnosť. Pozrime sa, ako to chodí!
Ako používať Hashcat
Najprv musíme vygenerovať hash. Otvorte program WinMD5 a súbor „password.txt“ (v poznámkovom bloku). Zadajte jedno z vašich hesiel (iba jedno). Uložte súbor. Otvorte ho pomocou WinMD5. Uvidíte malé pole obsahujúce hash súboru. Skopírujte ho do súboru „hashes.txt“ a uložte ho. Tento postup opakujte a každý súbor pridajte do nového riadku v súbore „hashes.txt“, až kým nezískate hash pre každé heslo, ktoré bežne používate. Potom, len pre zábavu, vložte do posledného riadku hash pre slovo „heslo“.
Tu stojí za zmienku, že MD5 nie je veľmi dobrý formát na ukladanie hashov hesiel - je pomerne rýchly na výpočet, čo robí brutálnu silu životaschopnejšou. Keďže robíme deštruktívne testovanie, je to pre nás v skutočnosti plus. Pri úniku skutočného hesla by boli naše heslá hasené pomocou programu Scrypt alebo nejakou inou bezpečnou funkciou hash, ktorá sa testuje pomalšie. Použitím MD5 môžeme v podstate simulovať hádzanie oveľa väčšieho výpočtového výkonu a času, ako máme v skutočnosti k dispozícii.
Ďalej sa uistite, že bol uložený súbor „hashes.txt“, a vyvolajte Windows PowerShell. Prejdite do priečinka Hashcat (cd .. ide o úroveň vyššie, ls zoznam aktuálnych súborov a cd [názov súboru] vstúpi do priečinka v aktuálnom adresári). Teraz napíšte ./hashcat-cli32.exe –hash-type = 0 –attack-mode = 8 hashes.txt rockyou.txt.
Tento príkaz v podstate hovorí: „Spustite aplikáciu Hashcat. Nastavte ju tak, aby pracovala na hashoch MD5 a používajte útok v „princovom režime“ (ktorý používa rôzne stratégie na vytvorenie variácií slov v zozname). Pokúste sa prerušiť položky v súbore „hashes.txt“ a použiť súbor „rockyou.txt“ ako slovník.
Kliknite na Enter a prijmite EULA (čo v podstate hovorí: „Malíček prisahám, že s tým nebudem nič hackovať“) a potom ho nechajte bežať. Hodnota hash pre heslo by sa mala objaviť o sekundu alebo dve. Potom je to len otázka čakania. Slabé heslá sa objavia behom niekoľkých minút na rýchlom a modernom CPU. Normálne heslá sa objavia o niekoľko hodín až deň alebo dve. Silné heslá môžu trvať veľmi dlho. Jedno z mojich starších hesiel bolo rozbité za menej ako desať minút.
Môžete nechať bežať tak dlho, ako budete chcieť. Počas práce vám odporúčam aspoň cez noc, alebo na počítači. Ak ho nastavíte 24 hodín, vaše heslo je pravdepodobne dosť silné pre väčšinu aplikácií - hoci to nie je záruka. Hackeri môžu byť ochotní spustiť tieto útoky po dlhú dobu alebo mať prístup k lepšiemu zoznamu slov. Ak máte pochybnosti o zabezpečení vášho hesla, získajte lepší.
Moje heslo bolo nefunkčné: Čo teraz?
Viac ako pravdepodobne sa niektoré z vašich hesiel nezdržali. Ako teda môžete vygenerovať silné heslá na ich nahradenie? Ako sa ukazuje, skutočne silná technika (popularizoval xkcd) sú prístupové frázy. Otvorte najbližšiu knihu, otočte ju na náhodnú stránku a položte prst na ňu. Vezmite najbližšie podstatné meno, sloveso, prídavné meno alebo príslovku a zapamätajte si ho. Ak máte štyri alebo päť, spojte ich bez medzier, čísiel alebo veľkých písmen. NEPOUŽÍVAJTE „správnyzásobník“. Bohužiaľ sa stala populárnou ako heslo a je zahrnutá v mnohých zoznamoch slov.
Jedným z príkladov hesla, ktoré som práve vygeneroval na základe sci-fi antológie, ktorá sedela na mojom konferenčnom stolíku, je „nakláňať sa do zrkadla“ (nepoužívajte ani toto). Je to oveľa ľahšie zapamätateľné ako ľubovoľný reťazec písmen a číslic a je pravdepodobne bezpečnejší. Rodení hovoriaci domorodej angličtiny majú pracovný slovník približne 20 000 slov. Výsledkom je, že pre postupnosť piatich náhodne zvolených bežných slov existuje 20 000 ^ 5 alebo asi tri šesťdesiat miliónov možných kombinácií. To je ďaleko za pochopením akéhokoľvek súčasného útoku hrubou silou.
Na rozdiel od toho by sa náhodne vybrané osemmiestne heslo syntetizovalo z hľadiska znakov s asi 80 možnosťami vrátane veľkých písmen, malých písmen, čísel, znakov a medzier. 80 ^ 8 je iba štvornásobok. To stále znie veľko, ale jeho zlomenie je v skutočnosti možné. Vzhľadom na desať špičkových stolových počítačov (z ktorých každý dokáže vykonať asi desať miliónov hashov za sekundu), to môže byť za pár mesiacov prinútený násilím - a ak to skutočne nie je, bezpečnosť sa úplne rozpadne náhodná. Je tiež oveľa ťažšie zapamätať si.
Ďalšou možnosťou je použitie správcu hesiel, ktorý vám môže generovať bezpečné heslá za chodu, ktoré sa dajú „odomknúť“ pomocou jediného hlavného hesla. Stále si musíte vybrať skutočne dobré hlavné heslo (a ak na to zabudnete, máte problémy) - ak však pri nesprávnom prístupe na webovú stránku dôjde k úniku hashovacích hesiel, máte ďalšiu mimoriadnu úroveň zabezpečenia.
Neustála ostražitosť
Dobrá bezpečnosť pomocou hesla nie je veľmi ťažká, vyžaduje si však, aby ste si boli vedomí problému a podnikli kroky na zabezpečenie bezpečnosti. Tento druh deštruktívneho testovania môže byť dobrým budíčkom. Je to jedna vec, vedieť, intelektuálne, že vaše heslá môžu byť neisté. Je to ďalšie, ako sa po niekoľkých minútach skutočne objaví vyskočenie z Hashcatu.
Ako si udržali vaše heslá? Dajte nám vedieť v komentároch!
Andrej, spisovateľ a novinár so sídlom na juhozápade, má zaručenú funkčnosť do 50 stupňov Celzia a je vodotesný do hĺbky 12 stôp.