Annuncio pubblicitario

La tua password è sicura? Abbiamo tutti sentito molti consigli su quali tipi di password non dovresti mai scegliere - e ci sono vari strumenti che affermano di valuta la sicurezza della tua password online Metti le tue password attraverso il Crack Test con questi cinque strumenti di resistenza delle passwordTutti noi abbiamo letto una buona parte delle domande "come faccio a decifrare una password". È sicuro di dire che la maggior parte di essi sono per scopi nefasti piuttosto che inquisitori. Violare le password ... Leggi di più . Tuttavia, questi possono essere solo dubbiosamente precisi. L'unico modo per testare davvero la sicurezza delle tue password è provare a romperle.

Quindi oggi faremo proprio questo. Ti mostrerò come utilizzare uno strumento che i veri hacker usano per decifrare le password e ti mostrerò come usarlo per controllare il tuo. E, se fallisce il test, ti mostrerò come scegliere password più sicure volere sostenere.

Configurazione di Hashcat

Lo strumento che useremo si chiama Hashcat. Ufficialmente, è destinato a

instagram viewer
recupero della password 6 Strumenti gratuiti di recupero password per Windows Leggi di più , ma in pratica è un po 'come dire BitTorrent Beat the Bloat! Prova questi client BitTorrent leggeriLe pistole non condividono file illegali. Le persone condividono file illegali. Oppure, aspetta, come va di nuovo? Quello che intendo dire è che BitTorrent non dovrebbe essere discusso in base al suo potenziale di pirateria. Leggi di più è destinato a scaricare file non protetti da copyright. In pratica, viene spesso utilizzato dagli hacker che cercano di violare le password rubato da server non sicuri Ashley Madison Leak non è un grosso problema? Pensa di nuovoIl discreto sito di incontri online Ashley Madison (destinato principalmente ai coniugi traditori) è stato violato. Tuttavia, si tratta di un problema molto più grave di quello che è stato descritto dalla stampa, con notevoli implicazioni per la sicurezza dell'utente. Leggi di più . Come effetto collaterale, questo lo rende un modo molto potente per testare la sicurezza delle password.

Nota: questo tutorial è per Windows. Quelli di voi su Linux possono guardare il video qui sotto per avere un'idea di dove iniziare.

È possibile ottenere Hashcat dal hashcat.net pagina web. Scarica e decomprimilo nella cartella dei download. Successivamente, avremo bisogno di ottenere alcuni dati accessori per lo strumento. Acquisiremo un elenco di parole, che è fondamentalmente un enorme database di password che lo strumento può utilizzare come punto di partenza, in particolare il rockyou.txt set di dati. Scaricalo e incollalo nella cartella Hashcat. Assicurati che sia chiamato "rockyou.txt"

Ora avremo bisogno di un modo per generare gli hash. Useremo WinMD5, che è uno strumento freeware leggero che esegue l'hashing di file specifici. Scaricalo, decomprimilo e rilascialo nella directory Hashcat. Creeremo due nuovi file di testo: hashes.txt e password.txt. Metti entrambi nella directory di Hashcat.

Questo è tutto! Hai finito.

La storia popolare di Hacker Wars

Prima di utilizzare effettivamente questa applicazione, parliamo un po 'di come le password vengono effettivamente violate e come siamo arrivati ​​a questo punto.

Nel lontano passato della nebbiosa storia dell'informatica, era prassi normale per i siti Web archiviare le password degli utenti in testo semplice. Sembra che abbia senso. Devi verificare che l'utente abbia inviato la password corretta. Un modo ovvio per farlo è quello di tenere una copia delle password a portata di mano in un piccolo file da qualche parte e controllare la password inviata dall'utente rispetto all'elenco. Facile.

Questo è stato un enorme disastro. Gli hacker otterrebbero l'accesso al server tramite una tattica subdola (come chiedendo educatamente), ruba l'elenco delle password, accedi e ruba tutti i soldi. Quando i ricercatori della sicurezza si sono ripresi dal disastro del fumo di quel disastro, è stato chiaro che dovevamo fare qualcosa di diverso. La soluzione era hash.

Per quelli non familiari, a funzione hash Cosa significa in realtà tutto questo hash MD5 [spiegazione della tecnologia]Ecco un riassunto completo di MD5, hashing e una piccola panoramica di computer e crittografia. Leggi di più è un pezzo di codice che prende un'informazione e la confonde matematicamente in un frammento di lunghezza fissa senza senso. Questo si chiama "hashing" dei dati. La cosa bella di loro è che vanno solo in una direzione. È molto facile prendere un'informazione e capire il suo hash unico. È molto difficile prendere un hash e trovare un'informazione che la generi. Infatti, se usi una password casuale, devi provare ogni possibile combinazione per farlo, il che è più o meno impossibile.

Quelli che segui a casa potrebbero notare che gli hash hanno alcune proprietà davvero utili per le applicazioni con password. Ora, invece di archiviare la password, è possibile memorizzare gli hash delle password. Quando si desidera verificare una password, l'hash, eliminare l'originale e verificarlo nell'elenco di hash. Le funzioni hash forniscono tutti gli stessi risultati, quindi è ancora possibile verificare che abbiano inviato le password corrette. Fondamentalmente, le password in chiaro non vengono mai memorizzate sul server. Pertanto, quando gli hacker violano il server, non possono rubare alcuna password, solo hash inutili. Funziona abbastanza bene.

La risposta degli hacker a questo è stata quella di spendere molto tempo ed energia per arrivare modi davvero intelligenti per invertire gli hash Ophcrack - Uno strumento di hacking della password per decifrare quasi qualsiasi password di WindowsCi sono molte ragioni diverse per cui si vorrebbe usare un numero qualsiasi di strumenti per hackerare una password per hackerare una password di Windows. Leggi di più .

Come funziona Hashcat

Possiamo usare diverse strategie per questo. Uno dei più robusti è quello utilizzato da Hashcat, il che è notare che gli utenti non sono molto fantasiosi e tendono a scegliere lo stesso tipo di password.

Ad esempio, la maggior parte delle password sono composte da una o due parole inglesi, un paio di numeri e forse alcune sostituzioni di lettere "maiuscole" o lettere maiuscole casuali. Delle parole scelte, alcune sono più probabili di altre: "password", il nome del servizio, il tuo nome utente e "ciao" sono tutti popolari. Idem nomi di animali domestici popolari e l'anno in corso.

Sapendo questo, puoi iniziare a generare ipotesi molto plausibili su ciò che diversi utenti potrebbero aver scelto, che dovrebbe (eventualmente) permetterti di indovinare correttamente, rompere l'hash e ottenere l'accesso al loro login credenziali. Sembra una strategia senza speranza, ma ricorda che i computer sono incredibilmente veloci. Un computer moderno può provare milioni di ipotesi al secondo.

Questo è quello che faremo oggi. Faremo finta che le tue password siano in un elenco di hash nelle mani di un hacker malintenzionato e che eseguano lo stesso strumento di cracking dell'hash che gli hacker usano su di loro. Pensalo come un'esercitazione antincendio per la tua sicurezza online. Vediamo come va!

Come usare Hashcat

Innanzitutto, dobbiamo generare gli hash. Apri WinMD5 e il tuo file "password.txt" (nel blocco note). Inserisci una delle tue password (solo una). Salva il file. Aprilo usando WinMD5. Vedrai una piccola casella contenente l'hash del file. Copialo nel tuo file "hashes.txt" e salvalo. Ripeti l'operazione, aggiungendo ogni file a una nuova riga nel file "hashes.txt", fino a quando non ottieni un hash per ogni password che usi abitualmente. Quindi, solo per divertimento, inserisci l'hash per la parola "password" come ultima riga.

hash

Vale la pena notare qui che MD5 non è un formato molto buono per la memorizzazione degli hash delle password: è abbastanza veloce da calcolare, rendendo la forza bruta più praticabile. Dal momento che stiamo eseguendo test distruttivi, questo è in realtà un vantaggio per noi. In una vera perdita di password le nostre password verrebbero codificate con Scrypt o con qualche altra funzione di hash sicura, che è più lenta da testare. Usando MD5, possiamo essenzialmente simulare lanciare molta più potenza di elaborazione e tempo sul problema di quanto non sia effettivamente disponibile.

WinMD5Running

Successivamente, assicurati che il file "hashes.txt" sia stato salvato e visualizza Windows PowerShell. Passare alla cartella Hashcat (cd .. sale di livello, ls elenca i file correnti e cd [nome file] entra in una cartella nella directory corrente). Adesso digita ./hashcat-cli32.exe –hash-type = 0 –attack-mode = 8 hashes.txt rockyou.txt.

Questo comando dice sostanzialmente "Esegui l'applicazione Hashcat. Impostalo per funzionare sugli hash MD5 e usa un attacco in "modalità principe" (che usa una varietà di strategie diverse per creare variazioni sulle parole nell'elenco). Prova a spezzare le voci nel file "hashes.txt" e utilizza il file "rockyou.txt" come dizionario.

Premi invio e accetta l'EULA (che in pratica dice "I mignolo giuro che non hackererò nulla con questo"), e poi lascialo correre. L'hash per la password dovrebbe apparire in un secondo o due. Dopodiché, è solo una questione di attesa. Le password deboli verranno visualizzate in pochi minuti su una CPU veloce e moderna. Le password normali appariranno tra un paio d'ore a un giorno o due. Le password complesse possono richiedere molto tempo. Una delle mie password più vecchie è stata infranta in meno di dieci minuti.

hashcatrunning

Puoi lasciarlo in esecuzione per tutto il tempo che desideri. Ti consiglio almeno durante la notte o sul tuo PC mentre sei al lavoro. Se lo fai 24 ore, la tua password è probabilmente abbastanza forte per la maggior parte delle applicazioni, anche se questa non è una garanzia. Gli hacker potrebbero essere disposti a eseguire questi attacchi a lungo o avere accesso a un elenco di parole migliore. In caso di dubbi sulla sicurezza della password, procurartene una migliore.

La mia password è stata rotta: ora che cosa?

Molto probabilmente, alcune delle tue password non hanno retto. Quindi, come è possibile generare password complesse per sostituirle? A quanto pare, una tecnica davvero forte (reso popolare da xkcd) sono passphrase. Apri il libro più vicino, passa a una pagina casuale e posiziona il dito verso il basso su una pagina. Prendi il nome, il verbo, l'aggettivo o l'avverbio più vicini e ricordalo. Quando ne hai quattro o cinque, mettili insieme senza spazi, numeri o maiuscole. NON utilizzare "correcthorsebatterystaple". Purtroppo è diventato popolare come password ed è incluso in molte liste di parole.

Una password di esempio che ho appena generato da un'antologia di fantascienza che era seduta sul mio tavolino è "leanedsomeartisansharmingdarling" (non usare neanche questo). Questo è molto più facile da ricordare di una stringa arbitraria di lettere e numeri ed è probabilmente più sicuro. I madrelingua inglese hanno un vocabolario di lavoro di circa 20.000 parole. Di conseguenza, per una sequenza di cinque parole comuni scelte casualmente, ci sono 20.000 ^ 5, o circa tre sextillion possibili combinazioni. Questo va ben oltre la portata di qualsiasi attacco di forza bruta attuale.

Al contrario, una password di otto caratteri scelta casualmente verrebbe sintetizzata in termini di caratteri, con circa 80 possibilità tra lettere maiuscole, minuscole, numeri, caratteri e spazi. 80 ^ 8 è solo un quadrilione. Sembra ancora grande, ma romperlo è in realtà nel regno delle possibilità. Dato dieci computer desktop di fascia alta (ognuno dei quali può fare circa dieci milioni di hash al secondo), quello potrebbe essere forzato brutalmente in pochi mesi - e la sicurezza cade completamente a pezzi se non lo è casuale. È anche molto più difficile da ricordare.

Un'altra opzione è quella di utilizzare un gestore di password, che può generare password sicure per te al volo, che possono essere "sbloccate" utilizzando un'unica password principale. Devi ancora scegliere una password principale davvero buona (e se la dimentichi, sei nei guai) - ma se gli hash delle password perdono in una violazione del sito Web, hai un forte livello di sicurezza in più.

Vigilanza Costante

Una buona sicurezza delle password non è molto difficile, ma richiede che tu sia consapevole del problema e che tu prenda provvedimenti per rimanere al sicuro. Questo tipo di test distruttivi può essere una buona sveglia. Una cosa è sapere, intellettualmente, che le tue password potrebbero non essere sicure. È un altro per vederlo effettivamente esplodere da Hashcat dopo pochi minuti.

Come hanno resistito le tue password? Fateci sapere nei commenti!

Scrittore e giornalista con sede nel sud-ovest, Andre è garantito per rimanere funzionale fino a 50 gradi Celcius ed è impermeabile fino a una profondità di dodici piedi.