reklama

Je vaše heslo bezpečné? Všichni jsme slyšeli mnoho rad o tom, jaká druhy hesel byste si nikdy neměli vybrat - a existují různé nástroje, které si nárokují posoudit zabezpečení vašeho hesla online Pomocí těchto pěti nástrojů pro pevnost hesla propusťte svá hesla pomocí Crack TestuVšichni jsme si přečetli spravedlivý podíl otázek „Jak rozlomím heslo“. Lze s jistotou říci, že většina z nich je spíše než pro zvídavé účely spíše než pro zvídavé účely. Porušení hesel ... Přečtěte si více . Ty však mohou být pouze pochybně přesné. Jediným způsobem, jak skutečně otestovat bezpečnost hesel, je pokusit se je rozbít.

Takže dnes budeme dělat jen to. Ukážu vám, jak používat nástroj, který skuteční hackeři používají k roztržení hesel, a ukážu vám, jak jej použít ke kontrole vašich. A pokud test selže, ukážu vám, jak si vybrat bezpečnější hesla vůle zvednout.

Nastavení Hashcat

Nástroj, který budeme používat, se nazývá Hashcat. Oficiálně je to určeno obnova hesla 6 bezplatných nástrojů pro obnovení hesla pro Windows Přečtěte si více

instagram viewer
, ale v praxi je to trochu jako říkat BitTorrent Beat the Bloat! Vyzkoušejte tyto lehké klienty BitTorrentZbraně nesdílejí nelegální soubory. Lidé sdílejí nelegální soubory. Nebo počkejte, jak to jde znovu? Chtěl bych říct, že by se BitTorrent neměl opomíjet na základě jeho potenciálu pirátství. Přečtěte si více je určen ke stažení souborů bez autorských práv. V praxi je často používán hackery, kteří se snaží rozbít hesla ukradené z nezabezpečených serverů Ashley Madison Leak Žádný velký obchod? Zamyslete se znovuDiskrétní online seznamka Ashley Madison (zaměřená především na podvádění manželů) byla hackována. Jedná se však o mnohem závažnější problém, než jaký byl vylíčen v tisku, se značnými důsledky pro bezpečnost uživatelů. Přečtěte si více . Vedlejším účinkem je velmi účinný způsob testování bezpečnosti hesla.

Poznámka: Tento návod je určen pro Windows. Ti z vás na Linuxu si mohou prohlédnout video níže, kde se dozvíte, kde začít.

Můžete získat Hashcat z hashcat.net webová stránka. Stáhněte a rozbalte jej do složky ke stažení. Dále budeme potřebovat získat pomocná data pro tento nástroj. Chystáme se získat seznam slov, což je v podstatě obrovská databáze hesel, která může nástroj použít jako výchozí bod, konkrétně rockyou.txt soubor dat. Stáhněte si ji a vložte ji do složky Hashcat. Ujistěte se, že se jmenuje rockyou.txt.

Nyní budeme potřebovat způsob, jak vygenerovat hashe. Budeme používat WinMD5, což je lehký freewarový nástroj, který hashuje konkrétní soubory. Stáhněte si ji, rozbalte ji a přetáhněte do adresáře Hashcat. Chystáme se vytvořit dva nové textové soubory: hashes.txt a password.txt. Vložte oba do adresáře Hashcat.

A je to! Jsi hotový.

Lidová historie hackerských válek

Než začneme tuto aplikaci skutečně používat, řekněme si trochu o tom, jak se vlastně hesla rozbijí a jak jsme se dostali k tomuto bodu.

Cesta zpět do mlhavé historie informatiky byla pro webové stránky běžnou praxí ukládat uživatelská hesla v prostém textu. Zdá se, že to dává smysl. Musíte ověřit, že uživatel odeslal správné heslo. Je to zřejmé, jak si nechat kopii hesel po ruce v malém souboru a zkontrolovat zadané heslo uživatele v seznamu. Snadný.

To byla obrovská katastrofa. Hackeři by získali přístup k serveru pomocí nějaké podivné taktiky (jako ptát se zdvořile), ukrást seznam hesel, přihlásit se a ukrást peníze všem. Když se výzkumníci v oblasti bezpečnosti zvedli z kouření trosky této katastrofy, bylo jasné, že musíme udělat něco jiného. Řešení bylo hašování.

Pro ty, kteří nejsou obeznámeni, hash funkce Co to všechno vlastně znamená, že látka MD5 hasí [vysvětlení technologie]Zde je kompletní přehled MD5, hashování a malý přehled počítačů a kryptografie. Přečtěte si více je část kódu, která vezme část informace a matematicky ji rozmělní do kusu nesmyslné délky. Tomu se říká „hashování“ dat. Co je na nich v pohodě, je to, že jdou pouze jedním směrem. Je velmi snadné vzít kus informace a zjistit jeho jedinečný hash. Je velmi těžké vzít hash a najít informace, které je generují. Ve skutečnosti, pokud používáte náhodné heslo, musíte vyzkoušet každou možnou kombinaci, abyste to dokázali, což je víceméně nemožné.

Ti z vás, kteří sledujete doma, si mohou všimnout, že hash má některé opravdu užitečné vlastnosti pro aplikace s hesly. Nyní místo uložení hesla můžete ukládat hashe hesel. Pokud chcete ověřit heslo, můžete ho hashovat, smazat originál a porovnat ho se seznamem hashů. Všechny funkce hash poskytují stejné výsledky, takže stále můžete ověřit, že zadali správná hesla. Je důležité, že skutečná hesla prostého textu nejsou nikdy uložena na serveru. Když tedy hackeři poruší server, nemohou ukrást žádná hesla - pouze zbytečné hashe. To funguje docela dobře.

Hackeři na to reagovali tím, že utratili spoustu času a energie opravdu chytré způsoby, jak zvrátit hashe Ophcrack - nástroj pro hackování hesel, pomocí kterého lze rozbít téměř jakékoli heslo systému WindowsExistuje mnoho různých důvodů, proč by někdo chtěl použít libovolný počet nástrojů pro hackování hesel k prolomení hesla systému Windows. Přečtěte si více .

Jak Hashcat funguje

K tomu můžeme použít několik strategií. Jedním z nejrobustnějších je ten, který používá Hashcat, což znamená, že uživatelé nejsou příliš nápadití a mají sklon si vybírat stejná hesla.

Například většina hesel sestává z jednoho nebo dvou anglických slov, několika čísel a možná i náhradních písmen „leet-Speak“ nebo náhodného psaní velkých písmen. Některá ze zvolených slov jsou pravděpodobnější než jiná: „heslo“, název služby, vaše uživatelské jméno a „ahoj“ jsou oblíbené. Ditto populární jména domácích mazlíčků a aktuální rok.

Když to víte, můžete začít vytvářet velmi věrohodné odhady o tom, co si mohli vybrat různí uživatelé, což by vám mělo (případně) umožnit správně uhodnout, přerušit hash a získat přístup k jejich přihlašovacím údajům pověření. Zní to jako beznadějná strategie, ale pamatujte, že počítače jsou směšně rychlé. Moderní počítač může vyzkoušet miliony odhadů za sekundu.

To budeme dnes dělat. Budeme předstírat, že vaše hesla jsou na hashovém seznamu v rukou škodlivého hackera a že provozujeme stejný hashovací crackovací nástroj, který na ně hackeři používají. Představte si to jako požární cvičení pro vaši online bezpečnost. Uvidíme, jak to jde!

Jak používat Hashcat

Nejprve musíme vygenerovat hash. Otevřete WinMD5 a soubor „password.txt“ (v poznámkovém bloku). Zadejte jedno ze svých hesel (pouze jedno). Uložte soubor. Otevřete jej pomocí WinMD5. Uvidíte malou krabici obsahující hash souboru. Zkopírujte to do svého souboru hashes.txt a uložte jej. Tento postup opakujte a přidejte každý soubor do nového řádku v souboru „hashes.txt“, dokud nezískáte hash pro každé heslo, které běžně používáte. Potom jen pro zábavu vložte do posledního řádku hash pro slovo „heslo“.

hashe

Zde stojí za zmínku, že MD5 není velmi dobrý formát pro ukládání hashe hesel - je poměrně rychlý výpočet, takže je hrubé vynucení životaschopnější. Protože děláme destruktivní testování, je to pro nás ve skutečnosti plus. Při úniku skutečného hesla by byla naše hesla hashována pomocí programu Scrypt nebo pomocí jiné zabezpečené hashovací funkce, která se testuje pomaleji. Použitím MD5 můžeme v podstatě simulovat házení mnohem většího výpočetního výkonu a času, než máme ve skutečnosti k dispozici.

WinMD5Running

Dále zkontrolujte, zda byl uložen soubor „hashes.txt“, a vyvolejte Windows PowerShell. Přejděte do složky Hashcat (cd .. jde o úroveň výš, ls vypíše aktuální soubory a cd [název souboru] vstoupí do složky v aktuálním adresáři). Nyní zadejte ./hashcat-cli32.exe –hash-type = 0 –attack-mode = 8 hashes.txt rockyou.txt.

Tento příkaz v podstatě říká: „Spusťte aplikaci Hashcat. Nastavte jej tak, aby pracoval na hashech MD5, a použijte útok „prince mode“ (který používá řadu různých strategií k vytváření variací na slova v seznamu). Zkuste rozbít položky v souboru hashes.txt a použít soubor rockyou.txt jako slovník.

Stiskněte klávesu Enter a přijměte smlouvu EULA (což v zásadě říká: „Pinky přísahám, že s tím nebudu nic hacknout“) a pak ji nechte běžet. Hodnota hash pro heslo by se měla objevit za sekundu nebo dvě. Poté je to jen otázka čekání. Slabá hesla se objeví během několika minut na rychlém moderním procesoru. Normální hesla se objeví za pár hodin až den nebo dvě. Silná hesla mohou trvat velmi dlouho. Jedno z mých starších hesel bylo rozbité za méně než deset minut.

hashcatrunning

Můžete nechat tento běh tak dlouho, jak budete chtít. Navrhuji alespoň přes noc, nebo v počítači, když jste v práci. Pokud to uděláte 24 hodin, vaše heslo je pravděpodobně dost silné pro většinu aplikací - i když to není záruka. Hackeři mohou být ochotni tyto útoky provozovat po dlouhou dobu nebo mít přístup k lepšímu seznamu slov. Pokud máte pochybnosti o zabezpečení vašeho hesla, získejte lepší.

Moje heslo bylo přerušeno: Co teď?

Více než pravděpodobné, některá z vašich hesel nevydržely. Jak tedy můžete vytvořit silná hesla, která je nahradí? Jak se ukazuje, opravdu silná technika (popularizoval xkcd) jsou přístupové fráze. Otevřete nejbližší knihu, otočte se na náhodnou stránku a položte prst dolů na stránku. Vezměte si nejbližší podstatné jméno, sloveso, přídavné jméno nebo příslovce a zapamatujte si jej. Když máte čtyři nebo pět, spojte je bez mezer, čísel nebo velkých písmen. NEPOUŽÍVEJTE „správnou korekci baterií“. Bohužel se stal populárním jako heslo a je součástí mnoha seznamů slov.

Jedním z příkladů hesla, které jsem právě vygeneroval ze sborníku sci-fi, který seděl na mém konferenčním stolku, je „leanedsomeartisansharmingdarling“ (toto také nepoužívejte). Je to mnohem snadnější zapamatovat si než libovolný řetězec písmen a čísel a je pravděpodobně bezpečnější. Rodilí mluvčí angličtiny mají pracovní slovní zásobu asi 20 000 slov. Výsledkem je, že pro sekvenci pěti náhodně vybraných běžných slov existuje 20 000 ^ 5 nebo asi tři sextillion možných kombinací. To je daleko za pochopením jakéhokoli současného útoku brutální silou.

Na rozdíl od toho by bylo náhodně zvolené osmimístné heslo syntetizováno z hlediska znaků, s asi 80 možnostmi včetně velkých písmen, malých písmen, čísel, znaků a mezer. 80 ^ 8 je jen čtyřnásobek. To sice zní pořádně, ale jeho rozpad je vlastně v rámci možností. Vzhledem k deseti špičkovým stolním počítačům (každý z nich dokáže udělat asi deset milionů hashů za sekundu), to za pár měsíců může být přinucen hrubou silou - a pokud to vlastně není, bezpečnost se úplně rozpadne náhodný. Je také mnohem těžší si zapamatovat.

Další možností je použít správce hesel, který vám může generovat zabezpečená hesla za chodu, která lze „odemknout“ pomocí jediného hlavního hesla. Stále si musíte vybrat opravdu dobré hlavní heslo (a pokud na to zapomenete, máte potíže) - ale pokud vaše hashování hesla unikne při narušení webové stránky, máte silnou další vrstvu zabezpečení.

Neustálá bdělost

Dobré zabezpečení heslem není příliš těžké, ale vyžaduje, abyste si byli vědomi problému a podnikli kroky, abyste zůstali v bezpečí. Tento druh destruktivního testování může být dobrým budíčkem. Je to jedna věc, intelektuálně vědět, že vaše hesla mohou být nejistá. Je to další, jak se po několika minutách objeví pop Hashcat.

Jak vaše hesla vydržely? Dejte nám vědět v komentářích!

Andrej je spisovatel a novinář se sídlem na jihozápadě, s garantovanou funkčností do 50 stupňů Celcius a je vodotěsný do hloubky dvanácti stop.