Er din adgangskode sikker? Vi har alle hørt en masse råd om, hvilke slags adgangskoder du aldrig bør vælge - og der er forskellige værktøjer, der hævder at vurdere sikkerheden for dit kodeord online. Sæt dine adgangskoder gennem Crack Test med disse fem kodeordstyrkeværktøjer Sæt dine adgangskoder Gennem Crack-testen med disse fem kodeordstyrkeværktøjer Alle af os har læst en retfærdig del af 'Hvordan springer jeg en adgangskode' spørgsmål. Det er sikkert at sige, at de fleste af dem er til skræmmende formål snarere end en nysgerrig. Overtrædelse af adgangskoder ... Læs mere. Men disse kan kun være tvivlsomt korrekte. Den eneste måde at virkelig teste sikkerheden for dine adgangskoder på er at forsøge at bryde dem.
Så i dag skal vi bare gøre det. Jeg skal vise dig, hvordan du bruger et værktøj, som rigtige hackere bruger til at knække adgangskoder, og vise dig hvordan du bruger det til at kontrollere din. Og hvis det fejler testen, viser jeg dig, hvordan du vælger sikrere adgangskoder, der holder op.
Opsætning af Hashcat
Værktøjet vi skal bruge hedder Hashcat. Officielt er det beregnet til adgangskode opsving 6 Gratis Password Recovery Tools til Windows 6 Gratis Password Recovery Tools til Windows Læs mere, men i praksis er det lidt som at sige BitTorrent Beat the Bloat! Prøv disse lette BitTorrent-klienter slog blodet! Prøv disse lette BitTorrent Clients Guns deler ikke ulovlige filer. Folk deler ulovlige filer. Eller vent, hvordan går det igen? Hvad jeg mener at sige er, bør BitTorrent ikke afløses på grundlag af sit potentiale for piratkopiering. Read More er beregnet til at downloade uncopyrighted filer. I praksis bruges det ofte af hackere, der forsøger at bryde adgangskoder stjålet fra usikre servere Ashley Madison Læk Ingen Big Deal? Tænk igen Ashley Madison Læk Ingen Big Deal? Tænk igen Diskret online dating site Ashley Madison (målrettet primært til snydende ægtefæller) er blevet hacket. Men dette er et langt mere seriøst problem end det, der er blevet portrætteret i pressen, med betydelige konsekvenser for brugersikkerheden. Læs mere . Som en bivirkning gør dette det til en meget kraftfuld måde at teste adgangskode sikkerhed på.
Bemærk: Denne vejledning er til Windows. De af jer på Linux kan tjekke nedenstående video for at få en ide om hvor de skal komme i gang.
Du kan få Hashcat fra hashcat.net websiden. Download og pak det ud til din downloads folder. Derefter skal vi få nogle yderligere data til værktøjet. Vi skal erhverve en ordliste, som i grunden er en enorm database over adgangskoder, som værktøjet kan bruge som udgangspunkt, specifikt rockyou.txt datasættet. Download det, og hold det i Hashcat-mappen. Sørg for, at den hedder 'rockyou.txt'
Nu skal vi have brug for en måde at generere hashes på. Vi bruger WinMD5, som er et letvægts freeware værktøj, der har bestemte filer. Download det, pak det ud og slip det i Hashcat-mappen. Vi skal lave to nye tekstfiler: hashes.txt og password.txt. Sæt begge i Hashcat-mappen.
Det er det! Du er færdig.
En folks historie om Hacker Wars
Før vi faktisk bruger denne applikation, lad os snakke lidt om, hvordan adgangskoder faktisk bliver brudt, og hvordan vi kom til dette punkt.
Vejen tilbage i computerhistoriens tåget historie var det standard praksis for websites at gemme brugeradgangskoder i almindelig tekst. Det ser ud som om det giver mening. Du skal kontrollere, at brugeren har sendt den korrekte adgangskode. En indlysende måde at gøre det på er at holde en kopi af adgangskoderne i hånden i en lille fil et eller andet sted, og tjek brugerens indsendte adgangskode mod listen. Let.
Dette var en enorm katastrofe. Hackere ville få adgang til serveren via nogle uhyggelige taktik (som at spørge høfligt), stjæle adgangskode listen, logge ind og stjæle alles penge. Som sikkerhedsforskere plukket sig op fra røgfrakten i den katastrofe, var det klart, at vi skulle gøre noget anderledes. Løsningen var hashing.
For alle, der ikke er bekendt, har en hash-funktion Hvad alt dette MD5 Hash-ting egentlig betyder [Teknologi forklaret] Hvad Alt dette MD5 Hash-indhold egentlig betyder [Teknologi forklaret] Her er en fuld nedbrud af MD5, hashing og et lille overblik over computere og kryptografi . Læs mere er et stykke kode, der tager et stykke information og scrambles det op matematisk ind i en fast længde stykke gibberish. Dette kaldes 'hashing' dataene. Hvad er cool om dem er, at de kun går i en retning. Det er meget nemt at tage et stykke information og finde ud af dens unikke hash. Det er meget svært at tage en hash og finde et stykke information, der genererer det. Faktisk, hvis du bruger en tilfældig adgangskode, skal du prøve enhver mulig kombination for at gøre det, hvilket er mere eller mindre umuligt.
De af jer, der følger med hjemme, kan bemærke, at hash har nogle rigtig nyttige egenskaber til adgangskodeapplikationer. Nu kan du i stedet for at opbevare adgangskoden gemme adgangskoderne. Når du vil bekræfte et kodeord, har du det, slet originalen, og tjek det mod listen over hashes. Hash-funktionerne leverer alle de samme resultater, så du kan stadig kontrollere, at de har indsendt de korrekte adgangskoder. Vigtigt, de faktiske plaintext adgangskoder gemmes aldrig på serveren. Så når hackere bryder serveren, kan de ikke stjæle nogen adgangskoder - kun ubrugelige hash. Dette virker rimeligt godt.
Hackerne svar på dette var at tilbringe en masse tid og energi, der kommer op med rigtig kloge måder at vende hashes på. Ophcrack - et passwordhack-værktøj til at sprænge næsten alle Windows-adgangskoder Ophcrack - et passwordhack-værktøj til at sprænge næsten alle Windows-adgangskoder Der er en mange forskellige grunde til, at man vil bruge et vilkårligt antal adgangskodehakværktøjer til at hakke en Windows-adgangskode. Læs mere .
Sådan fungerer Hashcat
Vi kan bruge flere strategier til dette. En af de mest robuste er den, som Hashcat bruger, hvilket er at bemærke, at brugerne ikke er meget fantasifulde og har tendens til at vælge de samme slags adgangskoder.
For eksempel består de fleste adgangskoder af et eller to engelske ord, et par tal og måske nogle "leet-speak" brev udskiftninger eller tilfældig kapitalisering. Af de valgte ord er nogle mere sandsynlige end andre: 'adgangskode', navnet på tjenesten, dit brugernavn og 'hej' er alle populære. Ditto populære kæledyrsnavne, og det nuværende år.
At vide dette kan du begynde at generere meget plausible gæt om, hvilke forskellige brugere måske har valgt, hvilket (i sidste ende) skal give dig mulighed for at gætte korrekt, bryde hash og få adgang til deres loginoplysninger. Det lyder som en håbløs strategi, men husk at computere er latterligt hurtige. En moderne computer kan prøve millioner guesses per sekund.
Sådan gør vi i dag. Vi laver som om, at dine adgangskoder er i en hash-liste i hænderne på en ondsindet hacker og kører det samme hash-krakkende værktøj, som hackere bruger på dem. Tænk på det som en brandbor for din online sikkerhed. Lad os se, hvordan det går!
Sådan bruges Hashcat
For det første skal vi generere hashene. Åbn WinMD5, og din 'password.txt' fil (i notesblok). Indtast et af dine adgangskoder (kun en). Gem filen. Åbn den ved hjælp af WinMD5. Du får se en lille boks indeholdende hash for filen. Kopier det til din "hashes.txt" fil, og gem det. Gentag dette, tilføj hver fil til en ny linje i filen 'hashes.txt', indtil du har en hash for hver adgangskode, du rutinemæssigt bruger. Så bare for sjov, sæt i hash for ordet 'password' som den sidste linje.
Det er værd at bemærke her, at MD5 ikke er et meget godt format til opbevaring af adgangskode hashes - det er ret hurtigt at beregne, hvilket gør brute tvang mere levedygtig. Da vi gør destruktiv testning, er dette faktisk et plus for os. I et rigtigt kodeordlækage vil vores adgangskoder være hentet med Scrypt eller en anden sikker hash-funktion, som er langsommere at teste. Ved at bruge MD5, kan vi i det væsentlige simulere at kaste meget mere processorkraft og tid på problemet, end vi rent faktisk har til rådighed.
Derefter skal du sørge for, at filen 'hashes.txt' er blevet gemt, og hent op Windows PowerShell. Naviger til Hashcat-mappen ( cd .. går op på et niveau, ls viser de aktuelle filer, og cd [filnavn] går ind i en mappe i det aktuelle bibliotek). Skriv nu ./hashcat-cli32.exe -hash-type = 0 -attack-mode = 8 hashes.txt rockyou.txt .
Denne kommando siger i grunden "Kør Hashcat ansøgningen. Sæt det på arbejde på MD5 hashes, og brug et "prins mode" angreb (som bruger en række forskellige strategier til at skabe variationer på ordene i listen). Prøv at bryde poster i filen 'hashes.txt', og brug filen 'rockyou.txt' som en ordbog.
Hit enter, og accepter EULA (som grundlæggende siger "Jeg pinky sværger jeg vil ikke hack noget med dette"), og lad det så løbe. Den hash for password skal dukke op i et sekund eller to. Derefter er det bare et spørgsmål om at vente. Svage adgangskoder vil dukke op inden for få minutter på en hurtig, moderne CPU. Normale adgangskoder vil dukke op om et par timer til en dag eller to. Sterke adgangskoder kan tage meget lang tid. Et af mine ældre adgangskoder blev brudt i løbet af ti minutter.
Du kan lade dette køre så længe du har lyst. Jeg foreslår mindst natten over eller på din pc, mens du er på arbejde. Hvis du gør det 24 timer, er dit kodeord nok stærkt nok til de fleste applikationer - selvom det ikke er en garanti. Hackere kan være villige til at køre disse angreb i lang tid eller få adgang til en bedre ordliste. Hvis du er i tvivl om din adgangskode sikkerhed, få en bedre.
Min adgangskode var ødelagt: Hvad nu?
Mere end sandsynligt holdt nogle af dine adgangskoder ikke op. Så hvordan kan du generere stærke adgangskoder til at erstatte dem? Som det viser sig, er en rigtig stærk teknik (populeret af xkcd) pass-sætninger. Åbn en nærmeste bog, vend til en tilfældig side, og læg fingeren ned på en side. Tag det nærmeste navneord, verb, adjektiv eller adverb, og husk det. Når du har fire eller fem, mush dem sammen uden mellemrum, tal eller kapitaliseringer. Brug IKKE "correcthorsebatterystaple". Det er desværre blevet populært som et kodeord, og er inkluderet i mange ordlister.
Et eksempel kodeord, som jeg netop genererede fra en science fiction antologi, der sad på mit sofabord er "leanedsomeartisansharmingdarling" (brug heller ikke denne). Dette er meget lettere at huske end en vilkårlig streng af bogstaver og tal, og er sandsynligvis mere sikker. Indfødte engelsktalende har et arbejdsordforråd på omkring 20.000 ord. Som følge heraf er der for en sekvens af fem tilfældigt udvalgte almindelige ord 20.000 ^ 5 eller ca. tre sekstioner mulige kombinationer. Dette er langt ud over forståelsen af et nuværende brutalt kraftangreb.
I modsætning hertil vil et tilfældigt valgt otte tegn password blive syntetiseret i form af tegn, med omkring 80 muligheder, herunder store bogstaver, små bogstaver, tal, tegn og mellemrum. 80 ^ 8 er kun en quadrillion. Det lyder stadig stort, men at bryde det er faktisk inden for mulighederne. I betragtning af ti high-end stationære computere (hver af dem kan gøre omkring 10 millioner hash'er pr. Sekund), kan det være brutalt tvunget om nogle få måneder - og sikkerheden falder helt fra hinanden, hvis det ikke er tilfældigt tilfældigt. Det er også meget sværere at huske.
En anden mulighed er at bruge en adgangskodeadministrator, som kan generere sikre adgangskoder til dig på flugt, som alle kan være 'låst op' ved hjælp af et enkelt masteradgangskode. Du skal stadig vælge en rigtig god hovedadgangskode (og hvis du glemmer det, har du problemer). Men hvis dit kodeord er blevet lækket i et webstedsbrud, har du et stærkt ekstra sikkerhedsniveau.
Konstant årvågenhed
God adgangskode sikkerhed er ikke meget svært, men det kræver, at du er opmærksom på problemet, og træffe foranstaltninger for at forblive sikker. Denne form for destruktiv test kan være et godt wakeup call. Det er en ting at vide, intellektuelt, at dine adgangskoder måske er usikre. Det er en anden at faktisk se det springe ud af Hashcat efter et par minutter.
Hvordan holdt dine adgangskoder op? Lad os vide i kommentarerne!