Teste a sua força de senha com os mesmos hackers ferramenta usar
É a sua senha segura? Todos nós já ouvimos um monte de conselhos sobre que tipos de senhas que você nunca deve escolher - e há várias ferramentas que pretendem avaliar a segurança de sua senha on-line. No entanto, estes só podem ser dubiously preciso. A única maneira de realmente testar a segurança de suas senhas é tentar quebrá-las.
Conteúdo
- Configurando hashcat
- Video: faça o teste e saiba em quanto tempo um hacker descobriria suas senhas
- Video: teste de invasão hacker
- História de um povo das guerras hacker
- Video: hackeando database (conversas) do whatsapp [teste de invasão no android]
- Como hashcat works
- Como usar hashcat
- Minha senha foi quebrada: e agora?
- Video: all the ways to hack your phone: phreaked out (episode 3)
- Vigilância constante
Então, hoje, vamos fazer exatamente isso. Vou mostrar-lhe como usar uma ferramenta que hackers reais usar para quebrar senhas, e mostrar-lhe como usá-lo para verificar o seu. E, se ele falhar no teste, eu vou lhe mostrar como escolher senhas mais seguras que vai aguarde.
Configurando Hashcat
A ferramenta que vamos estar usando é chamado Hashcat. Oficialmente, ele está destinado a recuperação de senha, mas na prática isso é um pouco como dizer BitTorrent tem a intenção de baixar arquivos sem copyright. Na prática, é muitas vezes usado por hackers que tentam quebrar senhas roubado de servidores inseguros. Como efeito colateral, o que torna uma forma muito poderosa para testar a segurança da senha.6 ferramentas de recuperação de senha grátis para Windows6 ferramentas de recuperação de senha grátis para Windowsconsulte Mais informação
Video: Faça o teste e saiba em quanto tempo um Hacker descobriria suas senhas
Nota: este tutorial é para o Windows. Aqueles de vocês em Linux pode conferir o vídeo abaixo para ter uma ideia de por onde começar.
Você pode obter Hashcat a partir da página hashcat.net web. Baixe e descompacte-o para a pasta de downloads. Em seguida, nós vamos precisar de obter alguns dados auxiliares para a ferramenta. Nós vamos adquirir uma lista de palavra, que é basicamente um enorme banco de dados de senhas que a ferramenta pode usar como ponto de partida, especificamente o conjunto de dados rockyou.txt. Baixá-lo e colocá-lo na pasta Hashcat. Ter certeza que é chamado ‘rockyou.txt`
Video: Teste de invasão hacker
Agora nós vamos precisar de uma maneira de gerar os hashes. Nós estaremos usando WinMD5, que é uma ferramenta de freeware leve que hashes arquivos específicos. Faça o download, descompactá-lo e soltá-lo para o diretório Hashcat. Nós vamos fazer dois novos arquivos de texto: hashes.txt e Password.txt. Coloque tanto no diretório Hashcat.
É isso aí! Você está feito.
História de um povo das guerras hacker
Antes de realmente usar esta aplicação, vamos falar um pouco sobre como senhas realmente ter quebrado, e como chegamos a este ponto.
Caminho de volta na história enevoada da ciência da computação, era prática padrão para sites para armazenar senhas de usuários em texto simples. Isto parece que faz sentido. Você precisa verificar se o usuário enviou a senha correta. Uma forma óbvia de fazer isso é manter uma cópia das senhas na mão em um pequeno arquivo em algum lugar, e verificar senha enviada do usuário contra a lista. Fácil.
Este foi um enorme desastre. Hackers ganharia acesso ao servidor via alguma tática desonesta (como pedir educadamente), roubar a lista de senhas, login, e roubar o dinheiro de todos. Como pesquisadores de segurança se levantaram dos destroços de fumar do que o desastre, ficou claro que precisávamos fazer algo diferente. A solução foi hashing.
Para quem não conhece, a função hash é um pedaço de código que leva um pedaço de informação e embaralha-lo matematicamente em um pedaço de comprimento fixo de rabiscos. Isso é chamado de ‘hash` os dados. O que é legal sobre eles é que eles só ir em uma direção. É muito fácil pegar um pedaço de informação e descobrir o seu hash único. É muito difícil de tomar um hash e encontrar um pedaço de informação que gera. Na verdade, se você usar uma senha aleatória, você tem que tentar todas as combinações possíveis, a fim de fazê-lo, o que é mais ou menos impossível.O que tudo isso Hash material MD5 realmente significa [Tecnologia Explicada]O que tudo isso Hash material MD5 realmente significa [Tecnologia Explicada]Aqui está um degradado cheio de MD5, hashing e uma pequena visão geral de computadores e criptografia.consulte Mais informação
Aqueles de vocês acompanhando em casa pode notar que hashes têm algumas propriedades realmente úteis para aplicações de senha. Agora, em vez de armazenar a senha, você pode armazenar os hashes das senhas. Quando você quiser verificar uma senha, você hash-lo, exclua o original, e verificá-lo contra a lista de hashes. Hash funções todos entregar os mesmos resultados, assim você ainda pode verificar que eles apresentaram as senhas corretas. Fundamentalmente, as senhas em texto puro reais nunca são armazenados no servidor. Assim, quando hackers romper o servidor, eles não podem roubar todas as senhas - apenas hashes inúteis. Isso funciona razoavelmente bem.
Video: Hackeando database (conversas) do WhatsApp [Teste de invasão no Android]
A resposta hackers a esta era de gastar muito tempo e energia chegando com maneiras realmente inteligentes para reverter hashes.
Como Hashcat Works
Podemos usar várias estratégias para isso. Um dos mais robusto é aquele que Hashcat usa, que é de notar que os usuários não são muito imaginativo e tendem a escolher os mesmos tipos de senhas.
Por exemplo, a maioria das senhas consistem em uma ou duas palavras inglesas, um par de números, e talvez alguns “leet-speak” carta substituições ou capitalização aleatória. Das palavras escolhidas, alguns são mais prováveis do que outros: ‘password `, o nome do serviço, seu nome de usuário, e‘Olá` são todos popular. Ditto nomes animal de estimação populares, e o ano em curso.
Sabendo disso, você pode começar a gerar suposições plausíveis sobre o que diferentes usuários podem ter escolhido, que deve (eventualmente) permitem que você adivinhar corretamente, quebrar o hash, e ter acesso a suas credenciais de login. Isso soa como uma estratégia desesperada, mas lembre-se que os computadores são ridiculamente rápido. Um computador moderno pode tentar milhões de suposições por segundo.
Isto é o que vamos fazer hoje. Nós vamos estar fingindo que suas senhas estão em uma lista de hash nas mãos de um hacker mal-intencionado, e executando a mesma ferramenta de quebra de hash que os hackers usam neles. Pense nisso como uma broca de fogo para a sua segurança online. Vamos ver como acontece!
Como usar Hashcat
Primeiro, precisamos gerar os hashes. Abrir WinMD5, e seu arquivo ‘password.txt`(no bloco de notas). Digite uma das suas senhas (apenas um). Salve o arquivo. Abri-lo usando WinMD5. Você verá uma pequena caixa contendo o hash do arquivo. Copie isso em seu arquivo ‘hashes.txt`, e guardá-lo. Repita este, acrescentando cada arquivo para uma nova linha no arquivo ‘hashes.txt`, até que você tenha um hash para cada senha que você usa rotineiramente. Então, só por diversão, colocar no hash para a palavra ‘password` como a última linha.
É importante notar aqui que MD5 não é um bom formato para armazenar hashes de senha - é bastante rápido para calcular, fazendo força bruta mais viável. Desde que nós estamos fazendo ensaios destrutivos, este é realmente um plus para nós. Em uma senha real vazar nossas senhas seriam hash com Scrypt ou alguma outra função hash seguro, que são mais lentas para testar. Usando MD5, podemos essencialmente simular jogando muito mais poder de processamento e tempo para o problema do que realmente tem disponível.
Em seguida, verifique se o arquivo ‘hashes.txt` foi salvo, e trazer o Windows PowerShell. Navegue até a pasta Hashcat (cd .. sobe um nível, ls lista os arquivos atuais, e cd [arquivo] entra em uma pasta no diretório atual). agora digite ./hashcat-cli32.exe -hash-tipo = 0 -attack-modo rockyou.txt = 8 hashes.txt.
Esse comando basicamente diz “Execute o aplicativo Hashcat. Configurá-lo para trabalhar em hashes MD5, e usar um ataque de “modo príncipe” (que usa uma variedade de estratégias diferentes para criar variações sobre as palavras na lista). Tente quebrar entradas no arquivo ‘hashes.txt`, e usar o arquivo‘rockyou.txt` como um dicionário.
Tecle enter, e aceitar o EULA (que basicamente diz: “Eu mindinho juro que não vou cortar qualquer coisa com este”), e depois deixá-lo correr. O hash de senha deve aparecer em um ou dois segundos. Depois disso, é só uma questão de espera. senhas fracas irá transformar-se em poucos minutos em um rápido CPU, moderno. senhas normais irá aparecer em um par de horas para um dia ou dois. As senhas fortes pode levar um tempo muito longo. Uma das minhas senhas mais velhos foi quebrado em menos de dez minutos.
Você pode deixar esta funcionando durante o tempo que você se sentir como. Eu sugiro que, pelo menos durante a noite, ou em seu PC quando você estiver no trabalho. Se você torná-lo 24 horas, sua senha é provavelmente forte o suficiente para a maioria das aplicações - embora esta não é uma garantia. Hackers podem estar dispostos a correr esses ataques por um longo tempo, ou ter acesso a uma melhor lista de palavras. Em caso de dúvida sobre a sua senha de segurança, obter um melhor.
Minha senha foi quebrada: e agora?
Mais do que provavelmente, algumas das suas senhas não aguentou. Então, como você pode gerar senhas fortes para substituí-los? Como se vê, uma técnica muito forte (popularizado por xkcd) é passar frases. Abra um livro o mais próximo, virar para uma página aleatória, e colocar o seu dedo para baixo em uma página. Leve o mais próximo substantivo, verbo, adjetivo ou advérbio, e lembre-se. Quando você tem quatro ou cinco, mush-los juntos sem espaços, números ou capitalizações. Não use “correcthorsebatterystaple”. É, infelizmente, tornou-se popular como uma senha, e está incluído em muitas listas de palavras.
Um exemplo de senha que eu só gerado a partir de uma antologia de ficção científica que estava sentado na minha mesa de café é “leanedsomeartisansharmingdarling” (não use este, qualquer um). Isto é muito mais fácil de lembrar do que uma seqüência arbitrária de letras e números, e é provavelmente mais seguro. falantes nativos de inglês têm um vocabulário de trabalho de cerca de 20.000 palavras. Como resultado, para uma sequência de cinco palavras escolhidas aleatoriamente, existem 20000 ^ 5, ou cerca de três sextillion combinações possíveis. Este é bem além do alcance de qualquer ataque de força bruta atual.
Em contraste, uma senha de oito caracteres escolhidos aleatoriamente seria sintetizado em termos de caracteres, com cerca de 80 possibilidades incluindo letras maiúsculas, minúsculas, números, caracteres, e espaços. 80 ^ 8 é apenas uma quatrilhões. Que ainda soa grande, mas quebrá-lo é realmente dentro do reino da possibilidade. Dada dez computadores desktop high-end (cada um dos quais pode fazer cerca de dez milhões de hashes por segundo), que poderia ser brute-forçados em alguns meses - e a segurança totalmente desmorona se não é realmente aleatória. É também muito mais difícil de lembrar.
Outra opção é usar um gerenciador de senhas, o que pode gerar senhas seguras para você em tempo real, todos os quais podem ser ‘destravado` usando uma única senha mestra. Você ainda tem que escolher um realmente bom senha mestra (e se você esquecê-lo, você está em apuros) - mas se seus hashes de senha são vazou em uma violação site, você tem uma forte camada extra de segurança.
Video: All The Ways To Hack Your Phone: Phreaked Out (Episode 3)
Vigilância constante
Boa segurança senha não é muito difícil, mas exige que você esteja ciente do problema e tomar medidas para se manter seguro. Este tipo de teste destrutivo pode ser um alerta bom. É uma coisa para saber, intelectualmente, que suas senhas pode ser inseguro. É uma outra para realmente ver que saem de Hashcat depois de alguns minutos.
Como suas senhas realizar-se? Deixe-nos saber nos comentários!