Διαφήμιση

Είναι ο κωδικός πρόσβασής σας ασφαλής; Όλοι έχουμε ακούσει πολλές συμβουλές σχετικά με το είδος των κωδικών πρόσβασης που δεν πρέπει ποτέ να επιλέξετε - και υπάρχουν διάφορα εργαλεία που ισχυρίζονται ότι αξιολογήστε την ασφάλεια του κωδικού πρόσβασής σας στο διαδίκτυο Βάλτε τους κωδικούς πρόσβασής σας μέσω του Crack Test με αυτά τα πέντε εργαλεία δύναμης κωδικού πρόσβασηςΌλοι μας έχουμε διαβάσει ένα δίκαιο μερίδιο των ερωτήσεων «πώς μπορώ να σπάσω έναν κωδικό πρόσβασης». Είναι ασφαλές να πούμε ότι τα περισσότερα από αυτά είναι για κακόβουλους σκοπούς και όχι περίεργο. Παραβίαση κωδικών πρόσβασης ... Διαβάστε περισσότερα . Ωστόσο, αυτά μπορεί να είναι αμφίβολα ακριβή. Ο μόνος τρόπος να δοκιμάσετε πραγματικά την ασφάλεια των κωδικών πρόσβασης είναι να προσπαθήσετε να τους σπάσετε.

Έτσι σήμερα, θα κάνουμε ακριβώς αυτό. Θα σας δείξω πώς να χρησιμοποιήσετε ένα εργαλείο που χρησιμοποιούν οι πραγματικοί χάκερ για να σπάσουν τους κωδικούς πρόσβασης και θα σας δείξουν πώς να το χρησιμοποιήσετε για να ελέγξετε τους δικούς σας. Και, εάν αποτύχει στη δοκιμή, θα σας δείξω πώς να επιλέξετε ασφαλέστερους κωδικούς πρόσβασης

instagram viewer
θα καθυστερώ.

Ρύθμιση του Hashcat

Το εργαλείο που θα χρησιμοποιούμε ονομάζεται Hashcat. Επισήμως, προορίζεται για ΕΠΑΝΑΚΤΗΣΗ ΚΩΔΙΚΟΥ 6 δωρεάν εργαλεία ανάκτησης κωδικού πρόσβασης για Windows Διαβάστε περισσότερα , αλλά στην πράξη αυτό είναι λίγο σαν να λέμε BitTorrent Νίκησε το Bloat! Δοκιμάστε αυτούς τους ελαφριούς πελάτες BitTorrentΤα όπλα δεν μοιράζονται παράνομα αρχεία. Οι άνθρωποι μοιράζονται παράνομα αρχεία. Ή, περιμένετε, πώς πάει ξανά; Αυτό που θέλω να πω είναι ότι το BitTorrent δεν πρέπει να διασκορπιστεί με βάση τις δυνατότητές του για πειρατεία. Διαβάστε περισσότερα προορίζεται για τη λήψη μη πνευματικών αρχείων. Στην πράξη, χρησιμοποιείται συχνά από χάκερ που προσπαθούν να σπάσουν τους κωδικούς πρόσβασης κλαπεί από ανασφαλείς διακομιστές Ashley Madison Leak Δεν υπάρχει μεγάλη υπόθεση; Ξανασκέψου τοΔιακριτικός διαδικτυακός ιστότοπος γνωριμιών Ashley Madison (που στοχεύει κυρίως σε εξαπάτηση συζύγων) έχει παραβιαστεί. Ωστόσο, αυτό είναι ένα πολύ πιο σοβαρό ζήτημα από ό, τι έχει παρουσιαστεί στον τύπο, με σημαντικές επιπτώσεις στην ασφάλεια των χρηστών. Διαβάστε περισσότερα . Ως παρενέργεια, αυτό το καθιστά έναν πολύ ισχυρό τρόπο δοκιμής της ασφάλειας κωδικού πρόσβασης.

Σημείωση: αυτό το σεμινάριο είναι για Windows. Όσοι από εσάς στο Linux μπορείτε να δείτε το παρακάτω βίντεο για μια ιδέα για το πού να ξεκινήσετε.

Μπορείτε να πάρετε το Hashcat από το hashcat.net ιστοσελίδα. Κάντε λήψη και αποσυμπιέστε το στο φάκελο λήψεων. Στη συνέχεια, θα χρειαστεί να λάβουμε μερικά βοηθητικά δεδομένα για το εργαλείο. Θα αποκτήσουμε μια λίστα λέξεων, η οποία είναι βασικά μια τεράστια βάση δεδομένων κωδικών πρόσβασης που μπορεί να χρησιμοποιήσει το εργαλείο ως σημείο εκκίνησης, ειδικά η rockyou.txt σύνολο δεδομένων. Κατεβάστε το και κολλήστε το στο φάκελο Hashcat. Βεβαιωθείτε ότι ονομάζεται "rockyou.txt"

Τώρα θα χρειαστούμε έναν τρόπο δημιουργίας των κατακερματισμών. Θα χρησιμοποιούμε WinMD5, το οποίο είναι ένα ελαφρύ εργαλείο δωρεάν λογισμικού που καταγράφει συγκεκριμένα αρχεία. Κατεβάστε το, αποσυμπιέστε το και αποθέστε το στον κατάλογο Hashcat. Θα δημιουργήσουμε δύο νέα αρχεία κειμένου: hashes.txt και password.txt. Βάλτε και τα δύο στον κατάλογο Hashcat.

Αυτό είναι! Τελείωσες.

Η ιστορία των ανθρώπων για τους πολέμους χάκερ

Πριν χρησιμοποιήσουμε πραγματικά αυτήν την εφαρμογή, ας μιλήσουμε λίγο για το πώς πραγματικά καταστραφούν οι κωδικοί πρόσβασης και πώς φτάσαμε σε αυτό το σημείο.

Επιστρέφοντας στην ομιχλώδη ιστορία της επιστήμης των υπολογιστών, ήταν συνήθης πρακτική για τους ιστότοπους να αποθηκεύουν κωδικούς πρόσβασης χρηστών σε απλό κείμενο. Φαίνεται ότι έχει νόημα. Πρέπει να επαληθεύσετε ότι ο χρήστης έστειλε τον σωστό κωδικό πρόσβασης. Ένας προφανής τρόπος να το κάνετε αυτό είναι να διατηρήσετε ένα αντίγραφο των κωδικών πρόσβασης σε ένα μικρό αρχείο κάπου και να ελέγξετε τον κωδικό πρόσβασης που έχει υποβληθεί από τον χρήστη στη λίστα. Ανετα.

Ήταν μια τεράστια καταστροφή. Οι χάκερ θα αποκτήσουν πρόσβαση στον διακομιστή μέσω κάποιας παραπλανητικής τακτικής (όπως ρωτώντας ευγενικά), κλέψτε τη λίστα κωδικών πρόσβασης, συνδεθείτε και κλέψτε τα χρήματα όλων. Καθώς οι ερευνητές ασφαλείας αναγκάστηκαν από τα συντρίμμια του καπνίσματος αυτής της καταστροφής, ήταν σαφές ότι έπρεπε να κάνουμε κάτι διαφορετικό. Η λύση ήταν κατακερματισμός.

Για όσους δεν είναι εξοικειωμένοι, α συνάρτηση κατακερματισμού Τι σημαίνει πραγματικά αυτό το MD5 Hash Stuff [Επεξήγηση τεχνολογίας]Ακολουθεί μια πλήρης ανάλυση του MD5, κατακερματισμού και μια μικρή επισκόπηση των υπολογιστών και της κρυπτογραφίας. Διαβάστε περισσότερα είναι ένα κομμάτι κώδικα που παίρνει ένα κομμάτι πληροφοριών και το ανακατεύει μαθηματικά σε ένα κομμάτι σταθερού μήκους. Αυτό ονομάζεται «κατακερματισμός» των δεδομένων. Αυτό που είναι εντυπωσιακό είναι ότι πηγαίνουν μόνο προς μία κατεύθυνση. Είναι πολύ εύκολο να πάρετε μια πληροφορία και να καταλάβετε το μοναδικό κατακερματισμό. Είναι πολύ δύσκολο να πάρεις ένα κατακερματισμό και να βρεις ένα κομμάτι πληροφοριών που το δημιουργεί. Στην πραγματικότητα, εάν χρησιμοποιείτε έναν τυχαίο κωδικό πρόσβασης, πρέπει να δοκιμάσετε κάθε δυνατό συνδυασμό για να το κάνετε, κάτι που είναι λίγο πολύ αδύνατο.

Όσοι από εσάς ακολουθείτε στο σπίτι μπορεί να παρατηρήσετε ότι οι κατακερματισμοί έχουν κάποιες πραγματικά χρήσιμες ιδιότητες για εφαρμογές κωδικού πρόσβασης. Τώρα, αντί να αποθηκεύετε τον κωδικό πρόσβασης, μπορείτε να αποθηκεύσετε τους κατακερματισμούς των κωδικών πρόσβασης. Όταν θέλετε να επαληθεύσετε έναν κωδικό πρόσβασης, τον κατακερματιστείτε, διαγράψτε τον πρωτότυπο και ελέγξτε τον στη λίστα κατακερματισμών. Οι λειτουργίες κατακερματισμού παρέχουν όλα τα ίδια αποτελέσματα, επομένως μπορείτε ακόμα να επαληθεύσετε ότι υπέβαλαν τους σωστούς κωδικούς πρόσβασης. Βασικά, οι πραγματικοί κωδικοί πρόσβασης απλού κειμένου δεν αποθηκεύονται ποτέ στο διακομιστή. Έτσι, όταν οι χάκερ παραβιάζουν τον διακομιστή, δεν μπορούν να κλέψουν κωδικούς πρόσβασης - μόνο άχρηστα κατακερματισμούς. Αυτό λειτουργεί αρκετά καλά.

Η απάντηση των χάκερ σε αυτό ήταν να αφιερώσει πολύ χρόνο και ενέργεια πραγματικά έξυπνοι τρόποι αντιστροφής των κατακερματισμών Ophcrack - Ένα εργαλείο χάραξης κωδικού πρόσβασης για τη διάλυση σχεδόν οποιουδήποτε κωδικού πρόσβασης των WindowsΥπάρχουν πολλοί διαφορετικοί λόγοι για τους οποίους κάποιος θα ήθελε να χρησιμοποιήσει οποιονδήποτε αριθμό εργαλείων χάραξης κωδικού πρόσβασης για να χαράξει έναν κωδικό πρόσβασης των Windows. Διαβάστε περισσότερα .

Πώς λειτουργεί το Hashcat

Μπορούμε να χρησιμοποιήσουμε διάφορες στρατηγικές για αυτό. Ένα από τα πιο ισχυρά είναι αυτά που χρησιμοποιεί το Hashcat, δηλαδή να παρατηρήσει ότι οι χρήστες δεν είναι πολύ ευφάνταστοι και τείνουν να επιλέγουν τα ίδια είδη κωδικών πρόσβασης.

Για παράδειγμα, οι περισσότεροι κωδικοί πρόσβασης αποτελούνται από μία ή δύο αγγλικές λέξεις, μερικούς αριθμούς και ίσως μερικές αντικαταστάσεις γραμμάτων "leet-speak" ή τυχαία χρήση κεφαλαίων. Από τις λέξεις που επιλέχθηκαν, μερικές είναι πιο πιθανές από άλλες: «κωδικός πρόσβασης», το όνομα της υπηρεσίας, το όνομα χρήστη και «γεια» είναι όλα δημοφιλή. Ditto δημοφιλή ονόματα κατοικίδιων ζώων και το τρέχον έτος.

Γνωρίζοντας αυτό, μπορείτε να αρχίσετε να δημιουργείτε πολύ εύλογες εικασίες για το τι θα μπορούσαν να έχουν επιλέξει διαφορετικοί χρήστες, το οποίο θα πρέπει (τελικά) να σας επιτρέψει να μαντέψετε σωστά, να σπάσετε το κατακερματισμό και να αποκτήσετε πρόσβαση στα στοιχεία σύνδεσής τους διαπιστευτήρια. Αυτό ακούγεται σαν μια απελπιστική στρατηγική, αλλά να θυμάστε ότι οι υπολογιστές είναι γελοία γρήγορα. Ένας σύγχρονος υπολογιστής μπορεί να δοκιμάσει εκατομμύρια εικασίες ανά δευτερόλεπτο.

Αυτό θα κάνουμε σήμερα. Θα προσποιούμαστε ότι οι κωδικοί πρόσβασής σας βρίσκονται σε μια λίστα κατακερματισμού στα χέρια ενός κακόβουλου χάκερ και εκτελούμε το ίδιο εργαλείο κατακερματισμού που χρησιμοποιούν οι χάκερ σε αυτούς. Σκεφτείτε το ως ένα τρυπάνι για την ασφάλειά σας στο διαδίκτυο. Ας δούμε πώς πηγαίνει!

Πώς να χρησιμοποιήσετε το Hashcat

Πρώτον, πρέπει να δημιουργήσουμε τους κατακερματισμούς. Ανοίξτε το WinMD5 και το αρχείο «password.txt» (στο σημειωματάριο). Εισαγάγετε έναν από τους κωδικούς πρόσβασης (μόνο έναν). Αποθηκεύστε το αρχείο. Ανοίξτε το χρησιμοποιώντας το WinMD5. Θα δείτε ένα μικρό κουτί που περιέχει τον κατακερματισμό του αρχείου. Αντιγράψτε το στο αρχείο "hashes.txt" και αποθηκεύστε το. Επαναλάβετε αυτό, προσθέτοντας κάθε αρχείο σε μια νέα γραμμή στο αρχείο "hashes.txt", έως ότου έχετε έναν κατακερματισμό για κάθε κωδικό πρόσβασης που χρησιμοποιείτε συνήθως. Στη συνέχεια, μόνο για διασκέδαση, βάλτε το hash για τη λέξη «κωδικός πρόσβασης» ως τελευταία γραμμή.

κατακερματισμός

Αξίζει να σημειωθεί εδώ ότι το MD5 δεν είναι μια πολύ καλή μορφή για την αποθήκευση κατακερματισμού κωδικού πρόσβασης - είναι πολύ γρήγορο να υπολογιστεί, καθιστώντας την ωμή βία πιο βιώσιμη. Εφόσον κάνουμε καταστροφικές δοκιμές, αυτό είναι στην πραγματικότητα ένα πλεονέκτημα για εμάς. Σε πραγματική διαρροή κωδικού πρόσβασης, οι κωδικοί πρόσβασης θα κατακερματιστούν με Scrypt ή κάποια άλλη ασφαλή λειτουργία κατακερματισμού, οι οποίες είναι πιο αργές στη δοκιμή. Χρησιμοποιώντας το MD5, μπορούμε ουσιαστικά να προσομοιώσουμε ρίχνοντας πολύ περισσότερη ισχύ επεξεργασίας και χρόνο στο πρόβλημα από ό, τι πραγματικά διαθέτουμε.

WinMD5Running

Στη συνέχεια, βεβαιωθείτε ότι το αρχείο "hashes.txt" έχει αποθηκευτεί και εμφανίστε το Windows PowerShell. Μεταβείτε στο φάκελο Hashcat (cd .. ανεβαίνει ένα επίπεδο, είναι παραθέτει τα τρέχοντα αρχεία και cd [όνομα αρχείου] εισάγει ένα φάκελο στον τρέχοντα κατάλογο). Τώρα πληκτρολογήστε ./hashcat-cli32.exe –hash-type = 0 –attack-mode = 8 hashes.txt rockyou.txt.

Αυτή η εντολή βασικά λέει «Εκτελέστε την εφαρμογή Hashcat. Ρυθμίστε το για να λειτουργεί σε κατακερματισμούς MD5 και χρησιμοποιήστε μια επίθεση "prince mode" (η οποία χρησιμοποιεί μια ποικιλία διαφορετικών στρατηγικών για τη δημιουργία παραλλαγών στις λέξεις στη λίστα). Προσπαθήστε να σπάσετε τις καταχωρήσεις στο αρχείο "hashes.txt" και χρησιμοποιήστε το αρχείο "rockyou.txt" ως λεξικό.

Πατήστε enter και αποδεχτείτε το EULA (το οποίο βασικά λέει "Ορκίζομαι ότι δεν θα χαράξω τίποτα με αυτό") και μετά αφήστε το να τρέξει. Ο κατακερματισμός για τον κωδικό πρόσβασης θα πρέπει να εμφανιστεί σε ένα ή δύο δευτερόλεπτα. Μετά από αυτό, είναι απλώς θέμα αναμονής. Οι αδύναμοι κωδικοί πρόσβασης θα εμφανιστούν μέσα σε λίγα λεπτά σε μια γρήγορη, μοντέρνα CPU. Οι κανονικοί κωδικοί πρόσβασης θα εμφανιστούν σε μερικές ώρες έως μία ή δύο ημέρες. Οι ισχυροί κωδικοί πρόσβασης μπορεί να διαρκέσουν πολύ χρόνο. Ένας από τους παλαιότερους κωδικούς μου έσπασε σε λιγότερο από δέκα λεπτά.

hashcatrunning

Μπορείτε να αφήσετε αυτό το τρέξιμο για όσο διάστημα θέλετε. Προτείνω τουλάχιστον μια μέρα στην άλλη ή στον υπολογιστή σας ενώ εργάζεστε. Εάν το κάνετε 24 ώρες, ο κωδικός πρόσβασής σας είναι πιθανώς αρκετά ισχυρός για τις περισσότερες εφαρμογές - αν και αυτό δεν αποτελεί εγγύηση. Οι χάκερ μπορεί να είναι πρόθυμοι να εκτελέσουν αυτές τις επιθέσεις για μεγάλο χρονικό διάστημα ή να έχουν πρόσβαση σε μια καλύτερη λίστα λέξεων. Εάν έχετε αμφιβολίες σχετικά με την ασφάλεια του κωδικού πρόσβασης, αποκτήστε καλύτερο.

Ο κωδικός μου ήταν σπασμένος: Τώρα τι;

Πιθανότατα, ορισμένοι από τους κωδικούς πρόσβασης δεν διατηρήθηκαν. Πώς μπορείτε λοιπόν να δημιουργήσετε ισχυρούς κωδικούς πρόσβασης για να τους αντικαταστήσετε; Όπως αποδεικνύεται, μια πραγματικά ισχυρή τεχνική (διαδόθηκε από το xkcd) είναι φράσεις. Ανοίξτε ένα πλησιέστερο βιβλίο, μεταβείτε σε μια τυχαία σελίδα και βάλτε το δάχτυλό σας κάτω σε μια σελίδα. Πάρτε το πλησιέστερο ουσιαστικό, ρήμα, επίθετο ή επίρρημα και θυμηθείτε το. Όταν έχετε τέσσερα ή πέντε, χτυπήστε τα μαζί χωρίς κενά, αριθμούς ή κεφαλαία γράμματα. ΜΗΝ χρησιμοποιείτε το "correcthorsebatterystaple". Δυστυχώς, γίνεται δημοφιλής ως κωδικός πρόσβασης και περιλαμβάνεται σε πολλές λίστες λέξεων.

Ένα παράδειγμα κωδικού πρόσβασης που μόλις δημιούργησα από μια ανθολογία επιστημονικής φαντασίας που καθόταν στο τραπέζι του καφέ μου είναι το "leanedsomeartisansharmingdarling" (μην το χρησιμοποιήσετε ούτε αυτό). Αυτό είναι πολύ πιο εύκολο να θυμόμαστε από μια αυθαίρετη σειρά γραμμάτων και αριθμών και είναι πιθανώς πιο ασφαλές. Τα εγγενή αγγλικά ομιλητές έχουν λειτουργικό λεξιλόγιο περίπου 20.000 λέξεων. Ως αποτέλεσμα, για μια ακολουθία πέντε τυχαία επιλεγμένων κοινών λέξεων, υπάρχουν 20.000 ^ 5, ή περίπου τρεις έξι εκατομμύρια δισεκατομμύρια συνδυασμοί. Αυτό είναι πολύ πέρα ​​από την αντίληψη κάθε τρέχουσας επίθεσης ωμής δύναμης.

Αντιθέτως, ένας τυχαία επιλεγμένος κωδικός οκτώ χαρακτήρων θα συντεθεί σε όρους χαρακτήρων, με περίπου 80 δυνατότητες όπως κεφαλαία, πεζά, αριθμούς, χαρακτήρες και κενά. Το 80 ^ 8 είναι μόνο ένα τετραπλάσιο. Αυτό εξακολουθεί να ακούγεται μεγάλο, αλλά το σπάσιμο είναι στην πραγματικότητα εντός της πιθανότητας. Δεδομένων δέκα επιτραπέζιων υπολογιστών προηγμένης τεχνολογίας (καθένας από τους οποίους μπορεί να κάνει περίπου δέκα εκατομμύρια κατακερματισμούς ανά δευτερόλεπτο), αυτό θα μπορούσε να εξαναγκάζεται σε λίγους μήνες - και η ασφάλεια καταρρέει εντελώς αν δεν είναι στην πραγματικότητα τυχαίος. Είναι επίσης πολύ πιο δύσκολο να θυμόμαστε.

Μια άλλη επιλογή είναι να χρησιμοποιήσετε έναν διαχειριστή κωδικών πρόσβασης, ο οποίος μπορεί να δημιουργήσει ασφαλείς κωδικούς πρόσβασης για εσάς εν κινήσει, όλοι τους μπορούν να «ξεκλειδωθούν» χρησιμοποιώντας έναν μόνο κύριο κωδικό πρόσβασης. Πρέπει ακόμη να επιλέξετε έναν πολύ καλό κύριο κωδικό πρόσβασης (και αν τον ξεχάσετε, έχετε πρόβλημα) - αλλά εάν οι κατακερματισμοί του κωδικού πρόσβασής σας έχουν διαρρεύσει σε παραβίαση ιστότοπου, έχετε ένα ισχυρό επιπλέον επίπεδο ασφάλειας.

Συνεχής επαγρύπνηση

Η καλή ασφάλεια κωδικού πρόσβασης δεν είναι πολύ δύσκολη, αλλά απαιτεί να γνωρίζετε το ζήτημα και να λάβετε μέτρα για να παραμείνετε ασφαλείς. Αυτό το είδος καταστροφικών δοκιμών μπορεί να είναι μια καλή κλήση αφύπνισης. Είναι ένα πράγμα που πρέπει να γνωρίζετε, διανοητικά, ότι οι κωδικοί πρόσβασής σας ενδέχεται να μην είναι ασφαλείς. Είναι άλλο να το βλέπεις να βγαίνει από το Hashcat μετά από λίγα λεπτά.

Πώς διατηρήθηκαν οι κωδικοί πρόσβασης; Ενημερώστε μας στα σχόλια!

Ένας συγγραφέας και δημοσιογράφος που εδρεύει στη Νοτιοδυτική πλευρά, ο Andre είναι εγγυημένος ότι θα παραμείνει λειτουργικός έως 50 βαθμούς Κελσίου και είναι αδιάβροχος σε βάθος δώδεκα ποδιών.