Είναι ασφαλής ο κωδικός πρόσβασής σας; Όλοι έχουμε ακούσει πολλές συμβουλές σχετικά με τα είδη των κωδικών πρόσβασης που δεν θα πρέπει ποτέ να επιλέξετε - και υπάρχουν διάφορα εργαλεία που ισχυρίζονται ότι αξιολογούν την ασφάλεια του κωδικού σας στο διαδίκτυο Βάλτε τους κωδικούς σας μέσω της δοκιμής ρωγμών με αυτά τα πέντε εργαλεία δύναμης κωδικού πρόσβασης Βάλτε τους κωδικούς πρόσβασης Μέσω της δοκιμής ρωγμών με αυτά τα πέντε εργαλεία δύναμης κωδικού πρόσβασης Όλοι μας έχουμε διαβάσει ένα δίκαιο μέρος των ερωτήσεων «πώς μπορώ να σπάσω ένα κωδικό πρόσβασης». Είναι ασφαλές να πούμε ότι οι περισσότεροι από αυτούς είναι για φαύλους σκοπούς και όχι περίεργους. Παραβίαση κωδικών πρόσβασης ... Διαβάστε περισσότερα. Ωστόσο, αυτά μπορούν να είναι μόνο αμφίβολα ακριβή. Ο μόνος τρόπος για να δοκιμάσετε πραγματικά την ασφάλεια των κωδικών πρόσβασής σας είναι να προσπαθήσετε να τα σπάσετε.
Έτσι σήμερα, θα κάνουμε ακριβώς αυτό. Θα σας δείξω πώς να χρησιμοποιήσετε ένα εργαλείο που χρησιμοποιούν οι πραγματικοί χάκερ για να σπάσουν τους κωδικούς πρόσβασης και θα σας δείξει πώς να το χρησιμοποιήσετε για να ελέγξετε το δικό σας. Και αν αποτύχει η δοκιμή, θα σας δείξω πώς να επιλέξετε ασφαλέστερους κωδικούς πρόσβασης που θα κρατηθούν.
Ρύθμιση του Hashcat
Το εργαλείο που πρόκειται να χρησιμοποιήσουμε ονομάζεται Hashcat. Επισήμως, προορίζεται για την ανάκτηση κωδικού πρόσβασης 6 Δωρεάν εργαλεία αποκατάστασης κωδικού πρόσβασης για τα Windows 6 Δωρεάν εργαλεία αποκατάστασης κωδικού πρόσβασης για τα Windows Διαβάστε περισσότερα, αλλά στην πράξη αυτό είναι λίγο σαν να λέει το BitTorrent Beat the Bloat! Δοκιμάστε αυτούς τους ελαφρούς πελάτες BitTorrent Κτυπήστε το Bloat! Δοκιμάστε αυτούς τους ελαφρούς πελάτες BitTorrent Τα όπλα δεν μοιράζονται παράνομα αρχεία. Οι χρήστες μοιράζονται παράνομα αρχεία. Ή, περιμένετε, πώς θα πάει ξανά; Αυτό που θέλω να πω είναι ότι το BitTorrent δεν πρέπει να διαλύεται με βάση τις δυνατότητές του για πειρατεία. Το στοιχείο "Διαβάστε περισσότερα" προορίζεται για λήψη μη προστατευμένων αρχείων. Στην πράξη, χρησιμοποιείται συχνά από τους χάκερ που προσπαθούν να σπάσουν κωδικούς που κλέβονται από ανασφαλείς διακομιστές Ashley Madison Leak No Big Deal; Σκεφτείτε πάλι Ashley Madison Διαρροή Δεν Big Deal; Σκεφτείτε ξανά Discreet σε απευθείας σύνδεση χρονολογώντας περιοχή Ashley Madison (που στοχεύει κυρίως σε εξαπάτηση συζύγους) έχει πειραχτεί. Ωστόσο, αυτό είναι ένα πολύ πιο σοβαρό ζήτημα από ό, τι παρουσιάστηκε στον Τύπο, με σημαντικές επιπτώσεις στην ασφάλεια των χρηστών. Διαβάστε περισσότερα . Ως παρενέργεια, αυτό κάνει έναν πολύ ισχυρό τρόπο για να ελέγξει την ασφάλεια του κωδικού πρόσβασης.
Σημείωση: αυτό το σεμινάριο είναι για τα Windows. Όσοι από εσάς στο Linux μπορείτε να δείτε το παρακάτω βίντεο για μια ιδέα για το πού να ξεκινήσετε.
Μπορείτε να πάρετε το Hashcat από την ιστοσελίδα του hashcat.net. Κάντε λήψη και αποσυμπιέστε το στον φάκελο λήψεων. Στη συνέχεια, θα χρειαστεί να πάρετε μερικά δευτερεύοντα δεδομένα για το εργαλείο. Θα αποκτήσουμε έναν κατάλογο λέξεων, ο οποίος είναι βασικά μια τεράστια βάση δεδομένων με κωδικούς πρόσβασης που το εργαλείο μπορεί να χρησιμοποιήσει ως σημείο εκκίνησης, και συγκεκριμένα το σύνολο δεδομένων rockyou.txt. Κατεβάστε το και τοποθετήστε το στο φάκελο Hashcat. Βεβαιωθείτε ότι ονομάζεται 'rockyou.txt'
Τώρα θα χρειαστούμε έναν τρόπο να δημιουργήσουμε τα hashes. Θα χρησιμοποιήσουμε το WinMD5, ένα ελαφρύ εργαλείο ελεύθερου λογισμικού που περιέχει συγκεκριμένα αρχεία. Κατεβάστε το, αποσυνδέστε το και ρίξτε το στον κατάλογο Hashcat. Θα κάνουμε δύο νέα αρχεία κειμένου: hashes.txt και password.txt. Βάλτε και τα δύο στον κατάλογο Hashcat.
Αυτό είναι! Τελείωσες.
Ιστορία του λαού για τους πολέμους των χάκερ
Πριν να χρησιμοποιήσουμε αυτήν την εφαρμογή, ας μιλήσουμε λίγο για το πώς οι κωδικοί αποκρύπτονται και πώς φτάσαμε σε αυτό το σημείο.
Επιστροφή στην ασαφή ιστορία της επιστήμης των υπολογιστών, ήταν συνήθης πρακτική για τους ιστοτόπους να αποθηκεύουν τους κωδικούς πρόσβασης των χρηστών σε απλό κείμενο. Αυτό φαίνεται να έχει νόημα. Πρέπει να επαληθεύσετε ότι ο χρήστης έστειλε τον σωστό κωδικό πρόσβασης. Ένας προφανής τρόπος για να γίνει αυτό είναι να κρατήσει ένα αντίγραφο των κωδικών πρόσβασης στο χέρι σε ένα μικρό αρχείο κάπου και να ελέγξει τον κωδικό που υπέβαλε ο χρήστης κατά τη λίστα. Εύκολος.
Αυτή ήταν μια τεράστια καταστροφή. Οι χάκερ θα αποκτήσουν πρόσβαση στο διακομιστή μέσω κάποιου ταπεινούς τακτικής (όπως να ζητούν ευγενικά), να κλέψουν τον κατάλογο κωδικών πρόσβασης, να συνδεθούν και να κλέψουν τα χρήματα όλων. Καθώς οι ερευνητές της ασφάλειας πήραν τον εαυτό τους από τα συντρίμμια του καπνίσματος αυτής της καταστροφής, ήταν σαφές ότι έπρεπε να κάνουμε κάτι διαφορετικό. Η λύση ήταν ο κατακερματισμός.
Για όσους δεν είναι εξοικειωμένοι, μια συνάρτηση κατακερματισμού Τι όλα αυτά τα MD5 Hash Stuff πραγματικά σημαίνει [Τεχνολογία εξηγείται] Τι όλα αυτά τα MD5 Hash Stuff πραγματικά σημαίνει [Τεχνολογία Επεξήγηση] Εδώ είναι μια πλήρη εξάντληση του MD5, hashing και μια μικρή επισκόπηση των υπολογιστών και της κρυπτογραφίας . Διαβάστε περισσότερα είναι ένα κομμάτι του κώδικα που παίρνει ένα κομμάτι των πληροφοριών και ανακατεύει το μαθηματικά σε ένα σταθερό μήκος κομμάτι του gibberish. Αυτό ονομάζεται "εξαφάνιση" των δεδομένων. Αυτό που είναι δροσερό γι 'αυτούς είναι ότι πηγαίνουν προς μία μόνο κατεύθυνση. Είναι πολύ εύκολο να πάρετε ένα κομμάτι πληροφοριών και να υπολογίσετε το μοναδικό hash του. Είναι πολύ δύσκολο να πάρετε ένα hash και να βρείτε μια πληροφορία που το δημιουργεί. Στην πραγματικότητα, εάν χρησιμοποιείτε έναν τυχαίο κωδικό πρόσβασης, πρέπει να δοκιμάσετε κάθε πιθανό συνδυασμό για να το κάνετε, κάτι που είναι σχεδόν αδύνατο.
Όσοι από εσάς ακολουθείτε στο σπίτι ίσως παρατηρήσετε ότι τα hashes έχουν κάποιες πραγματικά χρήσιμες ιδιότητες για εφαρμογές με κωδικό πρόσβασης. Τώρα, αντί να αποθηκεύσετε τον κωδικό πρόσβασης, μπορείτε να αποθηκεύσετε τις χρεώσεις των κωδικών πρόσβασης. Όταν θέλετε να επαληθεύσετε έναν κωδικό πρόσβασης, το κατακερματιστείτε, διαγράψτε το πρωτότυπο και ελέγξτε το κατά της λίστας των hashes. Οι λειτουργίες Hash παρέχουν όλα τα ίδια αποτελέσματα, ώστε να μπορείτε να επαληθεύσετε ότι έχουν υποβάλει τους σωστούς κωδικούς πρόσβασης. Βασικά, οι πραγματικοί κωδικοί πρόσβασης δεν είναι αποθηκευμένοι στον διακομιστή. Έτσι, όταν οι χάκερ παραβιάζουν τον διακομιστή, δεν μπορούν να κλέψουν κανέναν κωδικό πρόσβασης - μόνο άχρηστο hashes. Αυτό λειτουργεί αρκετά καλά.
Η απάντηση των χάκερ σε αυτό ήταν να ξοδεψει πολύ χρόνο και ενέργεια έρχεται με πραγματικά έξυπνο τρόπο για να αντιστρέψει hashes Ophcrack - Ένα εργαλείο Hack Password για να σπάσει σχεδόν οποιουσδήποτε κωδικούς πρόσβασης του Windows Ophcrack - Ένα εργαλείο Hack Password για να σπάσει Σχεδόν οποιοδήποτε κωδικό πρόσβασης Windows Υπάρχουν πολλοί διαφορετικοί λόγοι για τους οποίους κάποιος θα ήθελε να χρησιμοποιήσει οποιοδήποτε αριθμό εργαλείων hack με κωδικό πρόσβασης για να χάσει έναν κωδικό πρόσβασης των Windows. Διαβάστε περισσότερα .
Πώς λειτουργεί το Hashcat
Μπορούμε να χρησιμοποιήσουμε διάφορες στρατηγικές για αυτό. Ένα από τα πιο ισχυρά είναι αυτό που χρησιμοποιεί η Hashcat, το οποίο είναι να παρατηρήσετε ότι οι χρήστες δεν είναι πολύ ευφάνταστοι και τείνουν να επιλέγουν τα ίδια είδη κωδικών πρόσβασης.
Για παράδειγμα, οι περισσότεροι κωδικοί πρόσβασης αποτελούνται από μία ή δύο αγγλικές λέξεις, μερικούς αριθμούς, και ίσως κάποιες αντικαταστάσεις επιστολών "λέω" ή τυχαία κεφαλαία γράμματα. Από τις λέξεις που επιλέξατε, μερικές είναι πιο πιθανές από άλλες: "κωδικός πρόσβασης", το όνομα της υπηρεσίας, το όνομα χρήστη και το "γεια" είναι δημοφιλείς. Ditto δημοφιλή ονόματα κατοικίδιων ζώων, και το τρέχον έτος.
Γνωρίζοντας αυτό, μπορείτε να αρχίσετε να δημιουργείτε πολύ πιθανές εικασίες σχετικά με το τι μπορεί να έχουν επιλέξει διάφοροι χρήστες, οι οποίοι θα πρέπει (ενδεχομένως) να σας επιτρέψουν να μαντέψετε σωστά, να σπάσετε το hash και να αποκτήσετε πρόσβαση στα διαπιστευτήρια σύνδεσης. Αυτό ακούγεται σαν μια απελπιστική στρατηγική, αλλά να θυμάστε ότι οι υπολογιστές είναι γελοία γρήγορα. Ένας σύγχρονος υπολογιστής μπορεί να δοκιμάσει εκατομμύρια εικασίες ανά δευτερόλεπτο.
Αυτό θα κάνουμε σήμερα. Θα προσποιούμαστε ότι οι κωδικοί πρόσβασης σας βρίσκονται σε μια λίστα κατακερματισμού στα χέρια ενός κακόβουλου χάκερ και τρέχουν το ίδιο εργαλείο διάσπασης που χρησιμοποιούν οι χάκερ σε αυτούς. Σκεφτείτε το ως τρυπάνι πυρκαγιάς για την ασφάλεια στο διαδίκτυο. Ας δούμε πώς πηγαίνει!
Πώς να χρησιμοποιήσετε το Hashcat
Πρώτον, πρέπει να δημιουργήσουμε τα hashes. Ανοίξτε το WinMD5 και το αρχείο "password.txt" (σε σημειωματάριο). Πληκτρολογήστε έναν από τους κωδικούς πρόσβασής σας (μόνο ένα). Αποθηκεύστε το αρχείο. Ανοίξτε το χρησιμοποιώντας το WinMD5. Θα δείτε ένα μικρό κουτί που περιέχει το hash του αρχείου. Αντιγράψτε αυτό στο αρχείο 'hashes.txt' και αποθηκεύστε το. Επαναλάβετε αυτό, προσθέτοντας κάθε αρχείο σε μια νέα γραμμή στο αρχείο 'hashes.txt', μέχρι να έχετε ένα hash για κάθε κωδικό που χρησιμοποιείτε συνήθως. Στη συνέχεια, μόνο για διασκέδαση, βάλτε στο hash τη λέξη 'password' ως την τελευταία γραμμή.
Αξίζει να σημειωθεί εδώ ότι το MD5 δεν είναι μια πολύ καλή μορφή για την αποθήκευση του hashes του κωδικού πρόσβασης - είναι αρκετά γρήγορο να υπολογιστεί, καθιστώντας το βίαιο να αναγκαστεί να είναι πιο βιώσιμος. Δεδομένου ότι κάνουμε καταστροφικές δοκιμές, αυτό είναι πραγματικά ένα συν για μας. Σε μια πραγματική διαρροή κωδικού πρόσβασης, οι κωδικοί πρόσβασής μας θα έχουν χυθεί με το Scrypt ή κάποια άλλη λειτουργία ασφαλούς κατακερματισμού, η οποία είναι πιο αργή για δοκιμή. Χρησιμοποιώντας το MD5, μπορούμε ουσιαστικά να προσομοιώσουμε να ρίχνουμε πολύ περισσότερη ισχύ επεξεργασίας και χρόνο στο πρόβλημα από ό, τι διαθέτουμε.
Στη συνέχεια, βεβαιωθείτε ότι έχει αποθηκευτεί το αρχείο 'hashes.txt' και ότι εμφανίζεται το Windows PowerShell. Μεταβείτε στο φάκελο Hashcat (το cd .. ανεβάζει ένα επίπεδο, τα λίστες τα τρέχοντα αρχεία και το cd [όνομα_αρχείου] εισάγει ένα φάκελο στον τρέχοντα κατάλογο). Τώρα πληκτρολογήστε ./hashcat-cli32.exe -hash-type = 0 -attack-mode = 8 hashes.txt rockyou.txt .
Αυτή η εντολή βασικά λέει "Εκτελέστε την εφαρμογή Hashcat. Ρυθμίστε το για να δουλέψει σε MD5 hashes και χρησιμοποιήστε μια επίθεση "mode prince" (που χρησιμοποιεί μια ποικιλία διαφορετικών στρατηγικών για να δημιουργήσει παραλλαγές στις λέξεις της λίστας). Προσπαθήστε να σπάσετε καταχωρήσεις στο αρχείο 'hashes.txt' και χρησιμοποιήστε το αρχείο 'rockyou.txt' ως λεξικό.
Χτυπήστε εισάγετε και αποδεχτείτε το EULA (το οποίο βασικά λέει "Εγώ ορκίζομαι ότι δεν θα χάσω τίποτα με αυτό"), και στη συνέχεια αφήστε το να τρέξει. Το hash για τον κωδικό πρόσβασης πρέπει να αναδυθεί σε ένα δευτερόλεπτο ή δύο. Μετά από αυτό, πρόκειται απλώς για αναμονή. Οι αδύναμοι κωδικοί πρόσβασης θα εμφανιστούν μέσα σε λίγα λεπτά σε έναν γρήγορο, σύγχρονο επεξεργαστή. Οι κανονικοί κωδικοί πρόσβασης θα εμφανιστούν σε μερικές ώρες έως μία ημέρα ή δύο. Οι ισχυροί κωδικοί πρόσβασης μπορούν να διαρκέσουν πολύ καιρό. Ένας από τους παλαιότερους κωδικούς μου έσπασε σε λιγότερο από δέκα λεπτά.
Μπορείτε να αφήσετε αυτό το τρέξιμο για όσο θέλετε. Σας προτείνω τουλάχιστον μια μέρα στην άλλη, ή στον υπολογιστή σας ενώ εργάζεστε. Αν το κάνετε 24 ώρες, ο κωδικός σας είναι πιθανώς αρκετά ισχυρός για τις περισσότερες εφαρμογές - αν και αυτό δεν αποτελεί εγγύηση. Οι χάκερ ενδέχεται να είναι πρόθυμοι να εκτελέσουν αυτές τις επιθέσεις για μεγάλο χρονικό διάστημα ή να έχουν πρόσβαση σε μια καλύτερη λίστα λέξεων. Σε περίπτωση αμφιβολίας σχετικά με την ασφάλεια του κωδικού πρόσβασης, πάρετε μια καλύτερη.
Ο κωδικός μου ήταν σπασμένος: Τώρα τι;
Πιθανότατα, μερικοί από τους κωδικούς σας δεν κράτησαν. Πώς μπορείτε να δημιουργήσετε ισχυρούς κωδικούς πρόσβασης για να τις αντικαταστήσετε; Όπως αποδεικνύεται, μια πραγματικά ισχυρή τεχνική (δημοφιλή από το xkcd) είναι pass-φράσεις. Ανοίξτε ένα πλησιέστερο βιβλίο, μεταβείτε σε μια τυχαία σελίδα και τοποθετήστε το δάχτυλό σας σε μια σελίδα. Πάρτε το πλησιέστερο ουσιαστικό, ρήμα, επίθετο ή επίρρημα και θυμηθείτε το. Όταν έχετε τέσσερα ή πέντε, τα βάζετε μαζί χωρίς διαστήματα, αριθμούς ή κεφαλαιοποιήσεις. ΜΗ χρησιμοποιείτε το "σωστόhorsebatterystaple". Δυστυχώς γίνεται δημοφιλής ως κωδικός πρόσβασης και περιλαμβάνεται σε πολλές λίστες λέξεων.
Ένα παράδειγμα κωδικού πρόσβασης που μόλις δημιουργήσαμε από μια ανθρωπολογία επιστημονικής φαντασίας που καθόταν στο τραπέζι του καφέ μου είναι "φτωχό σκελετό", αλλά δεν το χρησιμοποιείτε. Αυτό είναι πολύ πιο εύκολο να θυμόμαστε από μια αυθαίρετη σειρά γραμμάτων και αριθμών και είναι μάλλον πιο ασφαλής. Τα εγγενή αγγλικά ομιλητές έχουν ένα λεξιλόγιο εργασίας περίπου 20.000 λέξεων. Ως αποτέλεσμα, για μια ακολουθία πέντε τυχαία επιλεγμένων συνηθισμένων λέξεων, υπάρχουν 20.000 ^ 5 ή περίπου τρεις δυνατοί συνδυασμοί. Αυτό είναι πολύ πιο πέρα από την κατανόηση οποιασδήποτε σημερινής επίθεσης βίαιης δύναμης.
Αντίθετα, ένας τυχαία επιλεγμένος οκταψήφιος κωδικός θα συντίθεται με χαρακτήρες, με περίπου 80 δυνατότητες, συμπεριλαμβανομένων κεφαλαίων, πεζών, αριθμών, χαρακτήρων και διαστημάτων. Το 80 ^ 8 είναι μόνο ένα τετρακύλινδρο. Αυτό εξακολουθεί να ακούγεται μεγάλο, αλλά το σπάσιμο είναι στην πραγματικότητα στο χώρο της δυνατότητας. Λαμβάνοντας υπόψη δέκα επιτραπέζιους υπολογιστές τελευταίας τεχνολογίας (εκ των οποίων το καθένα μπορεί να κάνει περίπου δέκα εκατομμύρια hashes ανά δευτερόλεπτο), αυτό θα μπορούσε να εξαναγκαστεί σε μερικούς μήνες - και η ασφάλεια σβήνει εντελώς αν δεν είναι πραγματικά τυχαία. Είναι επίσης πολύ πιο δύσκολο να θυμηθούμε.
Μια άλλη επιλογή είναι να χρησιμοποιήσετε έναν διαχειριστή κωδικών πρόσβασης, ο οποίος μπορεί να δημιουργήσει ασφαλείς κωδικούς πρόσβασης για εσάς, οι οποίοι μπορούν να «ξεκλειδωθούν» χρησιμοποιώντας ένα μόνο κύριο κωδικό πρόσβασης. Πρέπει να διαλέξετε έναν πολύ καλό κύριο κωδικό πρόσβασης (και αν το ξεχάσετε, έχετε πρόβλημα) - αλλά εάν διαρρηγνύονται οι κωδικοί πρόσβασης με κωδικό πρόσβασης σε παραβίαση ενός ιστότοπου, έχετε ένα ισχυρό επιπλέον επίπεδο ασφαλείας.
Συνεχής επαγρύπνηση
Η καλή ασφάλεια του κωδικού πρόσβασης δεν είναι πολύ δύσκολη, αλλά απαιτεί να γνωρίζετε το θέμα και να λάβετε μέτρα για να είστε ασφαλείς. Αυτό το είδος καταστροφικών δοκιμών μπορεί να είναι μια καλή κλήση αφύπνισης. Είναι ένα πράγμα να γνωρίζετε, διανοητικά, ότι οι κωδικοί πρόσβασης σας ενδέχεται να είναι ανασφαλείς. Είναι άλλο να το βλέπεις να φεύγει από το Hashcat μετά από λίγα λεπτά.
Πώς κρατήσατε τους κωδικούς σας; Ενημερώστε μας στα σχόλια!