Testa din lösenordsstyrka med samma verktygshackare använda
Är ditt lösenord säkert? Vi har alla hört mycket råd om vilka typer av lösenord du aldrig ska välja - och det finns olika verktyg som hävdar att du ska bedöma säkerheten för ditt lösenord online. Sätt dina lösenord genom spricktestet med dessa fem lösenordsstyrkverktyg Sätt dina lösenord Genom Crack-testet med dessa fem lösenordsstyrkan Verktyg Alla vi har läst en rättvis del av "hur kan jag spricka ett lösenord" -frågor. Det är säkert att säga att de flesta av dem är för grymma ändamål snarare än en nyfiken. Brottar lösenord ... Läs mer. Men dessa kan bara vara tveksamt. Det enda sättet att verkligen testa säkerheten för dina lösenord är att försöka bryta dem.
Så idag ska vi bara göra det. Jag ska visa dig hur man använder ett verktyg som riktiga hackare använder för att spricka lösenord och visa dig hur man använder den för att kontrollera din. Och om det misslyckas testet, visar jag dig hur man väljer säkrare lösenord som kommer vänta.
Ställa in Hashcat
Verktyget vi ska använda heter Hashcat. Officiellt är den avsedd för återställning av lösenord 6 Gratis lösenordshämtningsverktyg för Windows 6 Gratis lösenordsåterställningsverktyg för Windows Läs mer, men i praktiken är det lite som att säga BitTorrent Beat the Bloat! Prova dessa lätta BitTorrent-klienter! Prova dessa lätta BitTorrent-klienter kan inte dela olagliga filer. Människor delar olagliga filer. Eller vänta, hur går det igen? Vad jag menar att säga är, att BitTorrent inte bör lösas på grund av sin potential för piratkopiering. Läs mer är avsett att ladda ner obehöriga filer. I praktiken används det ofta av hackare som försöker bryta lösenord som är stulna från osäkra servrar Ashley Madison Leak No Big Deal? Tänk igen Ashley Madison läcka ingen stor överenskommelse? Tänk igen Diskret online-datingsida Ashley Madison (riktade främst till otrogen makar) har hackats. Men det här är en mycket allvarligare fråga än vad som har skildrats i pressen, med betydande konsekvenser för användarsäkerheten. Läs mer . Som en bieffekt gör det här ett mycket kraftfullt sätt att testa lösenordsäkerhet.
Obs! Denna handledning är för Windows. De av er på Linux kan kolla in videon nedan för en uppfattning om var du ska komma igång.
Du kan få Hashcat från hashcat.net webbsidan. Hämta och pakka ut det till din nedladdningsmapp. Därefter kommer vi behöva få några kompletterande data för verktyget. Vi kommer att skaffa en ordlista, som i grunden är en stor databas med lösenord som verktyget kan använda som utgångspunkt, särskilt rockyou.txt dataset. Ladda ner den och håll den i mappen Hashcat. Se till att det heter 'rockyou.txt'
Nu ska vi behöva ett sätt att generera hasherna. Vi använder WinMD5, vilket är ett lättviktigt freeware-verktyg som hakar specifika filer. Hämta det, lossa det och släpp det i katalogen Hashcat. Vi ska göra två nya textfiler: hashes.txt och password.txt. Lägg båda i Hashcat-katalogen.
Det är allt! Du är klar.
En folkhistoria av Hacker Wars
Innan vi faktiskt använder den här applikationen, låt oss prata lite om hur lösenorden faktiskt bryts och hur vi kom fram till den här punkten.
Vägen tillbaka i datalogens dimmiga historia var det vanligt att webbplatser för att lagra användarlösenord i vanlig text. Det verkar som om det är vettigt. Du måste verifiera att användaren skickat in rätt lösenord. Ett uppenbart sätt att göra det är att hålla en kopia av lösenorden till hands i en liten fil någonstans och kontrollera användarens inloggade lösenord mot listan. Lätt.
Detta var en enorm katastrof. Hackare skulle få åtkomst till servern via någon utmanande taktik (som att fråga hövligt), stjäla lösenordslistan, logga in och stjäla allas pengar. Som säkerhetsforskare plockade sig upp från rökningssjukhuset i den katastrofen var det tydligt att vi behövde göra något annat. Lösningen var hash.
För alla som inte är bekanta, har en hash-funktion Vad Allt detta MD5 Hash-saker faktiskt betyder [Teknologi förklaras] Vad Allt detta MD5 Hash-saker faktiskt betyder [Teknologi förklarat] Här är en fullständig nedgång av MD5, hash och en liten översikt över datorer och kryptografi . Read More är ett kodstycke som tar en bit av information och scrambles den matematiskt in i en fast längd av gibberish. Detta kallas "hashing" data. Vad är coolt om dem är att de bara går i en riktning. Det är väldigt lätt att ta en bit av information och räkna ut sin unika hash. Det är mycket svårt att ta en hash och hitta en information som genererar den. Faktum är att om du använder ett slumpmässigt lösenord måste du prova alla möjliga kombinationer för att kunna göra det, vilket är mer eller mindre omöjligt.
De som följer med hemma kanske märker att hash har några riktigt användbara egenskaper för lösenordsprogram. Nu kan du istället för att lagra lösenordet lagra lösenordet. När du vill verifiera ett lösenord, har du det, tar bort originalet och kontrollerar det mot listan över hashs. Hash-funktionerna ger alla samma resultat, så du kan fortfarande verifiera att de lämnade rätt lösenord. Avgörande, de faktiska plaintext-lösenorden lagras aldrig på servern. Så, när hackare bryter servern, kan de inte stjäla några lösenord - bara värdelösa haschar. Det fungerar ganska bra.
Hackers svar på detta var att spendera mycket tid och energi som kommer upp med riktigt kloka sätt att byta hashes. Ophcrack - Ett lösenordshackverktyg för att spricka nästan alla Windows lösenord Ophcrack - Ett lösenordshackverktyg för att spricka nästan alla Windows lösenord Det finns en många olika anledningar till varför man skulle vilja använda ett antal lösenordshackverktyg för att hacka ett Windows-lösenord. Läs mer .
Hur Hashcat fungerar
Vi kan använda flera strategier för detta. En av de mest robusta är den som Hashcat använder, vilket är att märka att användarna inte är så fantasifulla och tenderar att välja samma slags lösenord.
Till exempel består de flesta lösenord av ett eller två engelska ord, ett par siffror och kanske några “leet-speak” brevbyte eller slumpmässig kapitalisering. Av de plockade orden är vissa mer sannolika än andra: "lösenord", namn på tjänsten, ditt användarnamn och "hej" är alla populära. Ditto populära husdjur namn, och det nuvarande året.
Genom att veta detta kan du börja generera mycket rimliga gissningar om vilka olika användare som kan ha valt, vilket (i slutändan) skulle kunna gissa dig korrekt, bryta hash och få tillgång till deras inloggningsuppgifter. Det låter som en hopplös strategi, men kom ihåg att datorer är löjligt snabba. En modern dator kan prova miljoner gissningar per sekund.
Detta är vad vi ska göra idag. Vi låtsas att dina lösenord är i en hash-lista i händerna på en skadlig hackare, och kör det samma hash-crackingverktyget som hackare använder på dem. Tänk på det som en brandborr för din online-säkerhet. Låt oss se hur det går!
Så här använder du Hashcat
Först måste vi generera hasherna. Öppna WinMD5, och din "password.txt" -fil (i anteckningsblock). Ange ett av dina lösenord (bara en). Spara filen. Öppna den med WinMD5. Du får se en liten låda som innehåller hash för filen. Kopiera det till din "hashes.txt" -fil och spara det. Upprepa detta, lägg till varje fil till en ny rad i filen "hashes.txt" tills du har en hash för varje lösenord du använder rutinmässigt. Sedan, bara för skojs skull, sätt i ishallen för ordet "lösenord" som sista raden.
Det är värt att notera att MD5 inte är ett mycket bra format för lagring av lösenordshackar - det är ganska snabbt att beräkna, vilket gör brute force more viable. Eftersom vi gör destruktiva test, är det faktiskt ett plus för oss. I ett riktigt lösenordsläcka skulle våra lösenord vara hashed med Scrypt eller någon annan säker hash-funktion, som är långsammare att testa. Genom att använda MD5 kan vi i huvudsak simulera att kasta mycket mer bearbetningskraft och tid vid problemet än vad vi faktiskt har tillgängligt.
Kontrollera sedan att filen hashes.txt har sparats och ta upp Windows PowerShell. Navigera till Hashcat-mappen (CD… går upp på en nivå, ls listar de aktuella filerna och cd [filnamn] går in i en mapp i den aktuella katalogen). Skriv nu ./hashcat-cli32.exe -hash-type = 0 -attack-mode = 8 hashes.txt rockyou.txt.
Det här kommandot säger i grunden “Kör Hashcat-programmet. Ställ den på jobbet på MD5-hash och använd a “prins mode” attack (som använder en mängd olika strategier för att skapa variationer på orden i listan). Försök att bryta poster i filen "hashes.txt" och använd filen "rockyou.txt" som en ordlista.
Slå in och acceptera EULA (som i grunden säger “Jag pinky svär jag kommer inte hacka någonting med detta”), och låt det springa. Hacket för lösenord ska dyka upp på en sekund eller två. Därefter är det bara en fråga om att vänta. Svaga lösenord kommer att dyka upp inom några minuter på en snabb, modern CPU. Normala lösenord kommer att dyka upp om ett par timmar till en dag eller två. Starka lösenord kan ta mycket lång tid. Ett av mina äldre lösenord bröts om under tio minuter.
Du kan lämna det här så länge du känner. Jag föreslår åtminstone över natten, eller på din dator medan du är på jobbet. Om du gör det 24 timmar är ditt lösenord förmodligen tillräckligt starkt för de flesta applikationer - men det här är ingen garanti. Hackare kan vara villiga att köra dessa attacker länge, eller få tillgång till en bättre ordlista. Om du är osäker på din lösenordsäkerhet, få en bättre.
Mitt lösenord var brutet: Nu vad?
Mer än troligt höll några av dina lösenord inte upp. Så hur kan du skapa starka lösenord för att ersätta dem? Som det visar sig är en riktigt stark teknik (populariserad av xkcd) passfraser. Öppna en närmaste bok, vänd till en slumpmässig sida och lägg ner fingret på en sida. Ta närmaste substantiv, verb, adjektiv eller adverb, och kom ihåg det. När du har fyra eller fem, musha dem tillsammans med inga mellanslag, siffror eller kapitaliseringar. Använd inte “correcthorsebatterystaple”. Det är tyvärr populärt som ett lösenord, och ingår i många ordlistor.
Ett exempel lösenord som jag just skapat från en science fiction antologi som satt på mitt soffbord är “leanedsomeartisansharmingdarling” (använd inte den här heller). Detta är mycket lättare att komma ihåg än en godtycklig sträng bokstäver och siffror, och är förmodligen säkrare. Native engelska talare har en arbetsordförråd på cirka 20 000 ord. Som en följd, för en sekvens av fem slumpmässigt utvalda gemensamma ord, finns det 20 000 ^ 5, eller omkring tre sextilljon möjliga kombinationer. Detta är långt borta från grepp om någon nuvarande brute force attack.
I motsats till detta skulle ett slumpmässigt valt åtta tecken lösenord syntetiseras med avseende på tecken, med cirka 80 möjligheter, inklusive stora bokstäver, små bokstäver, siffror, tecken och mellanslag. 80 ^ 8 är bara en quadrillion. Det låter fortfarande stort, men att bryta det är faktiskt inom möjligheten. Med tio high-end stationära datorer (var och en kan göra om tio miljoner hashar per sekund), kan det vara brutalt tvunget om några månader - och säkerheten faller helt ifrån varandra om den inte är faktiskt slumpmässig. Det är också mycket svårare att komma ihåg.
Ett annat alternativ är att använda en lösenordshanterare, som kan generera säkra lösenord för dig i farten, som alla kan vara "olåsta" med ett enda huvudlösenord. Du måste fortfarande välja ett riktigt bra huvudlösenord (och om du glömmer det, är du i trubbel) - men om ditt lösenordshack har läckt ut i en webbplatsbrott, har du ett starkt extra säkerhetslager.
Konstant vaksamhet
God lösenordssäkerhet är inte särskilt svårt, men det kräver att du är medveten om problemet och vidta åtgärder för att vara säker. Denna typ av destruktiv testning kan vara ett bra wakeup-samtal. Det är en sak att veta, intellektuellt, att dina lösenord kan vara osäkra. Det är en annan att faktiskt se det dyka upp ur Hashcat efter några minuter.
Hur gick dina lösenord upp?? Låt oss veta i kommentarerna!
Utforska mer om: Hacking, Online Security, Lösenord.