Er passordet ditt sikkert? Vi har alle hørt mye råd om hva slags passord du aldri bør velge - og det finnes ulike verktøy som hevder å vurdere sikkerheten til passordet ditt på nettet. Legg passordene dine gjennom Crack Test med disse fem passordstyrkeverktøyene Legg passordene dine Gjennom Crack-testen med disse fem passordstyrkeverktøyene Alle av oss har lest en rettferdig del av "Hvordan sprer jeg et passord" -spørsmål. Det er trygt å si at de fleste av dem er for dårlige formål snarere enn en nysgjerrig. Brudd på passord ... Les mer. Men disse kan bare være tvilsomt nøyaktige. Den eneste måten å virkelig teste sikkerheten til passordene dine er å prøve å bryte dem.
Så i dag skal vi bare gjøre det. Jeg skal vise deg hvordan du bruker et verktøy som ekte hackere bruker til å sprekke passord, og vise deg hvordan du bruker den til å sjekke din. Og hvis det mislykkes testen, viser jeg deg hvordan du velger sikrere passord som vil holde opp.
Sette opp Hashcat
Verktøyet vi skal bruke heter Hashcat. Offisielt er det ment for passordgjenoppretting 6 Gratis Password Recovery Tools for Windows 6 Gratis Password Recovery Tools for Windows Les mer, men i praksis er dette litt som å si BitTorrent Beat the Bloat! Prøv disse lettvektige BitTorrent-klientene! Beat the Bloat! Prøv disse lette BitTorrent-klientens våpen deler ikke ulovlige filer. Folk deler ulovlige filer. Eller vent, hvordan går det igjen? Hva jeg mener å si er, bør BitTorrent ikke løses basert på potensialet for piratkopiering. Les mer er ment å laste ned uncopyrighted filer. I praksis blir det ofte brukt av hackere som prøver å bryte passord som er stjålet fra usikre servere Ashley Madison Leak No Big Deal? Tenk igjen Ashley Madison Lekkasje Ingen Big Deal? Tenk igjen Diskret online datingside Ashley Madison (målrettet primært på utro ektefeller) har blitt hacket. Men dette er et langt mer alvorlig problem enn det som har blitt portrettert i pressen, med betydelige implikasjoner for brukersikkerhet. Les mer . Som en bivirkning gjør dette det til en veldig kraftig måte å teste passordsikkerhet på.
Merk: denne veiledningen er for Windows. De av dere på Linux kan sjekke ut videoen nedenfor for en ide om hvor du skal komme i gang.
Du kan få Hashcat fra hashcat.net nettsiden. Last ned og pakke ut den til nedlastingsmappen din. Neste opp, vi kommer til å trenge å få noen tilleggsdata for verktøyet. Vi skal anskaffe en ordliste, som egentlig er en stor database med passord som verktøyet kan bruke som utgangspunkt, spesielt rockyou.txt datasettet. Last ned den, og hold den i Hashcat-mappen. Pass på at den heter 'rockyou.txt'
Nå skal vi trenge en måte å generere hashene på. Vi bruker WinMD5, som er et lettvint freeware verktøy som har bestemte filer. Last ned den, pakke den ut og slipp den inn i Hashcat-katalogen. Vi skal lage to nye tekstfiler: hashes.txt og password.txt. Sett begge i Hashcat-katalogen.
Det er det! Du er ferdig.
En folks historie om Hacker Wars
Før vi faktisk bruker dette programmet, la oss snakke litt om hvordan passordene faktisk blir ødelagte, og hvordan vi kom til dette punktet.
Vei tilbake i den tåkete historien om datavitenskap, var det vanlig praksis for nettsteder å lagre brukerpassord i vanlig tekst. Dette virker som om det er fornuftig. Du må bekrefte at brukeren sendte det riktige passordet. En åpenbar måte å gjøre det på er å holde en kopi av passordene i hånden i en liten fil et sted, og kontroller brukerens innsendte passord mot listen. Lett.
Dette var en stor katastrofe. Hackere ville få tilgang til serveren via noen utfordrende taktikk (som å spørre høflig), stjele passordlisten, logge inn og stjele allas penger. Som sikkerhetsforskere plukket seg opp fra røkenes vrak fra katastrofen, var det klart at vi trengte å gjøre noe annet. Løsningen var hashing.
For alle som ikke er kjent, har en hash-funksjon hva alt dette MD5 Hash-stoffet egentlig betyr [Teknologi forklart] Alt dette MD5 Hash-stoffet egentlig betyr [Teknologi forklart] Her er en full nedlasting av MD5, hashing og en liten oversikt over datamaskiner og kryptografi . Les mer er et stykke kode som tar en del informasjon og krypterer den matematisk inn i en fast lengde av gibberish. Dette kalles "hashing" dataene. Det som er kult om dem er at de bare går i en retning. Det er veldig enkelt å ta en del informasjon og finne ut sin unike hash. Det er veldig vanskelig å ta en hash og finne et stykke informasjon som genererer det. Faktisk, hvis du bruker et tilfeldig passord, må du prøve alle mulige kombinasjoner for å gjøre det, noe som er mer eller mindre umulig.
De av dere som følger med hjemme, kan legge merke til at hash har noen virkelig nyttige egenskaper for passordprogrammer. Nå, i stedet for å lagre passordet, kan du lagre hashene til passordene. Når du vil bekrefte et passord, har du det, slett originalen, og sjekk den mot listen over hashes. Hash-funksjoner gir alle de samme resultatene, slik at du fortsatt kan bekrefte at de sendte de riktige passordene. Viktigst, de faktiske plaintext passordene blir aldri lagret på serveren. Så når hackere bryter serveren, kan de ikke stjele noen passord - bare ubrukelige hash. Dette fungerer ganske bra.
Hackersens svar på dette var å tilbringe mye tid og energi som kommer opp med virkelig klare måter å reversere hashes. Ophcrack - et passordhackverktøy for å sprekke nesten alle Windows-passord Ophcrack - et passordhackverktøy for å spre nesten alle Windows-passord Det er en mange forskjellige grunner til hvorfor man ønsker å bruke et hvilket som helst antall passord hack verktøy for å hacke et Windows-passord. Les mer .
Slik fungerer Hashcat
Vi kan bruke flere strategier for dette. En av de mest robuste er den som Hashcat bruker, som er å legge merke til at brukerne ikke er veldig fantasifulle og pleier å velge de samme passordene.
For eksempel består de fleste passord av ett eller to engelske ord, et par tall, og kanskje noen "leet-speak" brev erstatning eller tilfeldig kapitalisering. Av de valgte ordene er det noen som er mer sannsynlige enn andre: «Passord», navnet på tjenesten, brukernavnet ditt og hello er alle populære. Ditto populære kjæledyrnavn, og nåværende år.
Å vite dette, kan du begynne å generere veldig troverdige gjetninger om hvilke forskjellige brukere som kanskje har plukket, noe som til slutt skulle gi deg mulighet til å gjette riktig, ødelegge hash og få tilgang til deres påloggingsinformasjon. Dette høres ut som en håpløs strategi, men husk at datamaskiner er latterlig raskt. En moderne datamaskin kan prøve millioner av gjetninger per sekund.
Dette er hva vi skal gjøre i dag. Vi vil late som at passordene dine er i en hash-liste i hendene på en ondsinnet hacker, og kjører det samme hash-cracking verktøyet som hackere bruker på dem. Tenk på det som en brannøvelse for din online sikkerhet. La oss se hvordan det går!
Slik bruker du Hashcat
Først må vi generere hashene. Åpne WinMD5, og filen 'password.txt' (i notisblokk). Skriv inn et av passordene dine (bare ett). Lagre filen. Åpne den ved hjelp av WinMD5. Du ser en liten boks som inneholder hash av filen. Kopier det til din hashes.txt-fil, og lagre det. Gjenta dette, legg til hver fil til en ny linje i filen "hashes.txt", til du har en hash for hvert passord du rutinemessig bruker. Så, bare for moro, sett inn hash for ordet "passord" som siste linje.
Det er verdt å merke seg at MD5 ikke er et veldig godt format for lagring av passord hashes - det er ganske fort å beregne, noe som gjør brute tvang mer levedyktig. Siden vi gjør destruktiv testing, er dette faktisk et pluss for oss. I et ekte passord lekkasje ville passordene våre være heklet med Scrypt eller en annen sikker hash-funksjon, som er tregere å teste. Ved å bruke MD5, kan vi i hovedsak simulere å kaste mye mer prosessorkraft og tid på problemet enn vi faktisk har tilgjengelig.
Deretter må du kontrollere at filen "hashes.txt" er lagret, og ta opp Windows PowerShell. Naviger til Hashcat-mappen ( cd .. går opp på et nivå, ls viser de nåværende filene, og cd [filnavn] går inn i en mappe i gjeldende katalog). Skriv nå ./hashcat-cli32.exe -hash-type = 0 -attack-modus = 8 hashes.txt rockyou.txt .
Denne kommandoen sier i utgangspunktet "Kjør Hashcat-applikasjonen. Sett den på jobb på MD5 hashes, og bruk et "prinsmodus" angrep (som bruker en rekke forskjellige strategier for å skape variasjoner på ordene i listen). Prøv å ødelegge oppføringer i filen 'hashes.txt', og bruk filen 'rockyou.txt' som en ordbok.
Hit enter, og aksepter EULA (som i utgangspunktet sier "Jeg pinky sverger jeg vil ikke hacke noe med dette"), og så la det løpe. Den hash for passord skal dukke opp i et sekund eller to. Etter det er det bare et spørsmål om å vente. Svake passord vil dukke opp innen minutter på en rask, moderne CPU. Normale passord vil dukke opp om et par timer til en dag eller to. Sterke passord kan ta svært lang tid. Et av mine eldre passord ble brutt på under ti minutter.
Du kan la dette løpe så lenge du har lyst. Jeg foreslår minst over natten, eller på PCen mens du er på jobb. Hvis du gjør det 24 timer, er passordet ditt trolig sterkt nok for de fleste applikasjoner - selv om dette ikke er en garanti. Hackere kan være villige til å kjøre disse angrepene lenge, eller få tilgang til en bedre ordliste. Hvis du er i tvil om passordsikkerhet, får du en bedre.
Mitt passord ble ødelagt: nå hva?
Mer enn sannsynlig holdt noen av passordene dine ikke oppe. Så hvordan kan du generere sterke passord for å erstatte dem? Som det viser seg, er en veldig sterk teknikk (popularisert av xkcd) passord. Åpne en nærmeste bok, bla til en tilfeldig side, og legg fingeren ned på en side. Ta nærmeste substantiv, verb, adjektiv eller adverb, og husk det. Når du har fire eller fem, mush dem sammen uten mellomrom, tall eller kapitaliseringer. IKKE bruk "correcthorsebatterystaple". Det er dessverre blitt populært som et passord, og er inkludert i mange ordlister.
Et eksempel passord som jeg nettopp har generert fra en science fiction antologi som satt på kaffebordet mitt er "leanedsomeartisansharmingdarling" (ikke bruk denne, enten). Dette er mye enklere å huske enn en vilkårlig streng med bokstaver og tall, og er sannsynligvis sikrere. Native engelsktalende har et arbeidsordforråd på ca 20.000 ord. Som et resultat er det for en sekvens av fem tilfeldig valgte vanlige ord, at det er 20.000 ^ 5, eller omtrent tre seksti-mulige mulige kombinasjoner. Dette er langt utenfor forståelsen av et nåværende brutalt kraftangrep.
I motsetning til dette vil et tilfeldig valgt åtte tegn passord syntetiseres i form av tegn, med om lag 80 muligheter, inkludert store bokstaver, små bokstaver, tall, tegn og mellomrom. 80 ^ 8 er bare en quadrillion. Det høres fortsatt stort ut, men å bryte det er faktisk innenfor mulighetene. Gitt ti high-end stasjonære datamaskiner (hver av dem kan gjøre om ti millioner hashene per sekund), kan det være brutalt tvunget om noen måneder - og sikkerheten faller helt fra hverandre hvis den ikke egentlig er tilfeldig. Det er også mye vanskeligere å huske.
Et annet alternativ er å bruke en passordbehandling, som kan generere sikre passord for deg på fluen, som alle kan være "låst opp" ved hjelp av et enkelt hovedpassord. Du må fortsatt velge et veldig godt masterpassord (og hvis du glemmer det, er du i trøbbel) - men hvis passordet ditt har blitt lekket i et nettstedbrudd, har du et sterkt ekstra lag av sikkerhet.
Konstant årvåkenhet
God passord sikkerhet er ikke veldig vanskelig, men det krever at du skal være oppmerksom på problemet, og ta skritt for å holde seg trygg. Denne typen destruktiv testing kan være en god våkne samtale. Det er en ting å vite, intellektuelt, at passordene dine kan være usikre. Det er en annen å faktisk se det komme ut av Hashcat etter noen minutter.
Hvordan holdt passordene dine oppe? Gi oss beskjed i kommentarene!