Annons

Är ditt lösenord säkert? Vi har alla hört mycket råd om vilka slags lösenord du aldrig bör välja - och det finns olika verktyg som påstår sig bedöma säkerheten för ditt lösenord online Lägg dina lösenord genom Crack Test med dessa fem lösenordsstyrkningsverktygVi alla har läst en rättvis andel av frågor om hur jag knäcker ett lösenord. Det är säkert att säga att de flesta av dem är för besvärliga ändamål snarare än nyfikna. Bryter lösenord ... Läs mer . Dessa kan emellertid bara vara tvivelaktiga. Det enda sättet att verkligen testa säkerheten för dina lösenord är att försöka bryta dem.

Så idag kommer vi att göra just det. Jag ska visa dig hur du använder ett verktyg som riktiga hackare använder för att knäcka lösenord och visa dig hur du använder det för att kontrollera ditt. Och om det misslyckas med testet visar jag dig hur du väljer säkrare lösenord där kommer vänta.

Ställa in Hashcat

Verktyget vi ska använda kallas Hashcat. Officiellt är den avsedd för återställning av lösenord 6 gratis lösenordsåterställningsverktyg för Windows Läs mer

instagram viewer
, men i praktiken är detta lite som att säga BitTorrent Beat the Blat! Prova dessa lätta BitTorrent-klienterVapen delar inte olagliga filer. Folk delar olagliga filer. Eller vänta, hur går det igen? Vad jag menar att säga är att BitTorrent inte bör spridas utifrån dess potential för piratkopiering. Läs mer är avsett att ladda ner filer utan upphovsrättsskydd. I praktiken används det ofta av hackare som försöker bryta lösenord stulna från osäkra servrar Ashley Madison Leak No Big Deal? Tänk omDiskret online-datingsida Ashley Madison (främst inriktad på att fuska makar) har hackats. Detta är emellertid en mycket allvarligare fråga än vad som har framställts i pressen, med betydande konsekvenser för användarsäkerheten. Läs mer . Som en bieffekt gör detta det till ett mycket kraftfullt sätt att testa lösenordssäkerhet.

Obs! Denna handledning är för Windows. De av er på Linux kan kolla in videon nedan för en idé om var man ska komma igång.

Du kan få Hashcat från hashcat.net webbsida. Ladda ner och packa upp den i din nedladdningsmapp. Därefter kommer vi att behöva få lite extra data för verktyget. Vi kommer att skaffa oss en ordlista, som i princip är en enorm databas med lösenord som verktyget kan använda som utgångspunkt, särskilt rockyou.txt datauppsättning. Ladda ner den och klistra in den i Hashcat-mappen. Se till att det heter 'rockyou.txt'

Nu kommer vi att behöva ett sätt att generera hasherna. Vi kommer att använda WinMD5, som är ett lättvikts freeware-verktyg som har specifika filer. Ladda ner den, packa upp den och släpp den i Hashcat-katalogen. Vi kommer att skapa två nya textfiler: hashes.txt och password.txt. Lägg båda i Hashcat-katalogen.

Det är allt! Du är klar.

En folkhistoria av hackerkrigerna

Innan vi faktiskt använder den här applikationen, låt oss prata lite om hur lösenord faktiskt går sönder och hur vi kom till denna punkt.

Vägen tillbaka i datorns dimmiga historia var det vanligt att webbplatser lagrar användarlösenord i vanlig text. Det verkar som om det är vettigt. Du måste verifiera att användaren har skickat in rätt lösenord. Ett uppenbart sätt att göra det är att hålla en kopia av lösenorden till hands i en liten fil någonstans och kontrollera användarens inlämnade lösenord mot listan. Lätt.

Det här var en enorm katastrof. Hackare skulle få tillgång till servern via någon avvikande taktik (som frågar artigt), stjäla lösenordslistan, logga in och stjäla allas pengar. När säkerhetsforskare plockade upp sig från rökningen av den katastrofen, var det tydligt att vi behövde göra något annorlunda. Lösningen hasades.

För de som inte är bekanta, a hash-funktion Vad allt detta MD5 Hash-material egentligen betyder [teknik förklarat]Här är en fullständig nedgång av MD5, hashing och en liten översikt över datorer och kryptografi. Läs mer är en kodkod som tar en information och skrapar upp den matematiskt till en fast längd bit av gibberish. Detta kallas 'hashing' data. Det som är coolt med dem är att de bara går i en riktning. Det är väldigt lätt att ta en del information och ta reda på dess unika hash. Det är väldigt svårt att ta en hash och hitta en information som genererar den. Om du använder ett slumpmässigt lösenord måste du faktiskt prova alla möjliga kombinationer för att göra det, vilket är mer eller mindre omöjligt.

De av er som följer hemma kanske märker att hash har några riktigt användbara egenskaper för lösenordsapplikationer. Istället för att lagra lösenordet kan du nu spara lösenordens hash. När du vill verifiera ett lösenord, hasar du det, tar bort originalet och kontrollerar det mot haschlistan. Hash-funktioner ger alla samma resultat, så att du fortfarande kan verifiera att de har skickat rätt lösenord. Av avgörande betydelse lagras de faktiska klartextlösenorden aldrig på servern. Så när hackare bryter mot servern kan de inte stjäla några lösenord - bara värdelösa hash. Detta fungerar ganska bra.

Hackarens svar på detta var att spendera mycket tid och energi på att komma med riktigt smarta sätt att vända hasch Ophcrack - Ett lösenord hackverktyg för att knäcka nästan alla Windows-lösenordDet finns många olika skäl till varför man skulle vilja använda valfritt antal lösenordshackverktyg för att hacka ett Windows-lösenord. Läs mer .

Hur Hashcat fungerar

Vi kan använda flera strategier för detta. En av de mest robusta är den som Hashcat använder, vilket är att märka att användare inte är så fantasifulla och tenderar att välja samma slags lösenord.

Till exempel består de flesta lösenord av ett eller två engelska ord, ett par siffror, och kanske några "leet-speak" -ersättningar eller slumpmässiga bokstäver. Av de valda orden är vissa mer troliga än andra: "lösenord", namnet på tjänsten, ditt användarnamn och "hej" är alla populära. Ditto populära husdjur namn, och innevarande år.

Genom att veta detta kan du börja generera väldigt rimliga gissningar om vad olika användare kan ha valt, vilket bör (så småningom) låta dig gissa korrekt, bryta hash och få tillgång till deras inloggning referenser. Detta låter som en hopplös strategi, men kom ihåg att datorer är löjligt snabba. En modern dator kan testa miljoner gissningar per sekund.

Det här är vad vi ska göra idag. Vi låtsas att dina lösenord finns i en hashlista i händerna på en skadlig hacker och kör samma hashkrackningsverktyg som hackare använder på dem. Tänk på det som en brandborr för din online-säkerhet. Låt oss se hur det går!

Hur man använder Hashcat

Först måste vi skapa hasherna. Öppna WinMD5 och din 'password.txt' -fil (i anteckningar). Ange ett av dina lösenord (bara ett). Spara filen. Öppna den med WinMD5. Du ser en liten ruta som innehåller filens hash. Kopiera den till din "hashes.txt" -fil och spara den. Upprepa detta genom att lägga till varje fil till en ny rad i filen 'hashes.txt' tills du har en hash för varje lösenord du rutinmässigt använder. Sedan, bara för skojs skull, lägg in hash för ordet "lösenord" som den sista raden.

hashes

Det är här värt att notera att MD5 inte är ett särskilt bra format för att lagra lösenord hash - det är ganska snabbt att beräkna, vilket gör brute tvingning mer livskraftig. Eftersom vi gör destruktiva tester är detta faktiskt ett plus för oss. I ett riktigt lösenordsläckage skulle våra lösenord haas med Scrypt eller någon annan säker hash-funktion, som är långsammare att testa. Genom att använda MD5 kan vi i huvudsak simulera att vi kastar mycket mer processorkraft och tid på problemet än vad vi faktiskt har tillgängliga.

WinMD5Running

Se sedan till att filen 'hashes.txt' har sparats och ta fram Windows PowerShell. Navigera till mappen Hashcat (CD .. går upp en nivå, ls listar de aktuella filerna och cd [filnamn] skriver in en mapp i den aktuella katalogen). Skriv nu ./hashcat-cli32.exe –hash-type = 0 –attack-mode = 8 hashes.txt rockyou.txt.

Det kommandot säger i princip “Kör Hashcat-applikationen. Ställ in den för att arbeta på MD5-hascher och använd en "prins-läge" -attack (som använder en mängd olika strategier för att skapa variationer på orden i listan). Försök att bryta poster i filen 'hashes.txt' och använd filen 'rockyou.txt' som en ordlista.

Tryck på Enter och acceptera EULA (som i princip säger ”Jag rosa svär att jag inte ska hacka någonting med det här”) och låt det sedan köras. Hash för lösenord bör dyka upp om en sekund eller två. Efter det är det bara en fråga om att vänta. Svaga lösenord dyker upp inom några minuter på en snabb, modern CPU. Normala lösenord dyker upp om ett par timmar till en dag eller två. Starka lösenord kan ta mycket lång tid. Ett av mina äldre lösenord bröts på under tio minuter.

hashcatrunning

Du kan lämna detta igång så länge du känner för. Jag föreslår åtminstone över natten, eller på din dator när du är på jobbet. Om du gör det dygnet runt är ditt lösenord förmodligen tillräckligt starkt för de flesta applikationer - även om detta inte är en garanti. Hackare kan vara villiga att köra dessa attacker under lång tid eller ha tillgång till en bättre ordlista. Om du är osäker på ditt lösenordssäkerhet, få ett bättre.

Mitt lösenord var trasigt: Vad nu?

Vissa av dina lösenord rymde troligen inte. Så hur kan du skapa starka lösenord för att ersätta dem? Som det visar sig, en riktigt stark teknik (populariserat av xkcd) är lösenfraser. Öppna en närmaste bok, vänd till en slumpmässig sida och lägg fingret ner på en sida. Ta närmaste substantiv, verb, adjektiv eller adverb, och kom ihåg det. När du har fyra eller fem, mossa dem utan några mellanslag, antal eller stora bokstäver. Använd INTE “correcthorsebatterystaple”. Det har tyvärr blivit populärt som lösenord och ingår i många ordlistor.

Ett exempel på ett lösenord som jag just genererade från en science fiction-antologi som satt på mitt soffbord är "leanedsomeartisansharmingdarling" (använd inte det här heller). Detta är mycket lättare att komma ihåg än en godtycklig sträng av bokstäver och siffror och är förmodligen säkrare. Inhemska engelsktalande har ett fungerande ordförråd på cirka 20 000 ord. Som ett resultat finns det för en sekvens av fem slumpmässigt valda vanliga ord 20 000 ^ 5, eller ungefär tre sextillion möjliga kombinationer. Detta är långt utanför greppet om alla aktuella brute-kraftattacker.

Däremot skulle ett slumpmässigt valt lösenord med åtta tecken syntetiseras i termer, med cirka 80 möjligheter inklusive stora och små bokstäver, siffror, tecken och mellanslag. 80 ^ 8 är bara en kvadrillion. Det låter fortfarande stort, men att bryta det är faktiskt inom möjligheten. Med tio avancerade stationära datorer (som alla kan göra cirka tio miljoner hash per sekund), det kan bli brutetvingat på några månader - och säkerheten faller helt isär om den inte faktiskt är det slumpmässig. Det är också mycket svårare att komma ihåg.

Ett annat alternativ är att använda en lösenordshanterare, som kan generera säkra lösenord för dig i farten, som alla kan "låsas upp" med ett enda huvudlösenord. Du måste fortfarande välja ett riktigt bra huvudlösenord (och om du glömmer det, har du problem) - men om ditt lösenord haskar läcker i ett webbplatsbrott har du ett starkt extra lager av säkerhet.

Konstant vaksamhet

Bra lösenordssäkerhet är inte särskilt svårt, men det kräver att du är medveten om problemet och vidta åtgärder för att hålla dig säker. Denna typ av destruktiva tester kan vara ett bra väckarklocka. Det är en sak att veta, intellektuellt, att dina lösenord kan vara osäkra. Det är en annan att faktiskt se den springa ut från Hashcat efter några minuter.

Hur höll dina lösenord upp? Låt oss veta i kommentarerna!

En författare och journalist baserad på sydväst, garanteras Andre att vara funktionell upp till 50 grader Celcius och är vattentät till ett djup av tolv meter.