Testez votre force de mot de passe avec les mêmes pirates utilisent l`outil

Votre mot de passe sécurisé? Nous avons tous entendu beaucoup de conseils sur ce genre de mots de passe que vous ne devriez jamais choisir - et il y a divers outils qui prétendent évaluer la sécurité de votre mot de passe en ligne. Cependant, ceux-ci ne peuvent être dubiously précis. La seule façon de vraiment tester la sécurité de vos mots de passe est d`essayer de les briser.

Mettez vos mots de passe à travers le test Crack avec ces outils de force Cinq mot de passeMettez vos mots de passe à travers le test Crack avec ces outils de force Cinq mot de passeNous avons tous lu une juste part de « comment puis-je craque un mot de passe » questions. Il est sûr de dire que la plupart d`entre eux sont à des fins infâmes plutôt qu`un curieux. les mots de passe ... violationLire la suite

Donc, aujourd`hui, nous allons le faire. Je vais vous montrer comment utiliser un outil que les pirates utilisent pour casser vrais mots de passe, et vous montrer comment l`utiliser pour vérifier le vôtre. Et, si elle échoue le test, je vais vous montrer comment choisir des mots de passe plus sûrs volonté braquage.

Configuration Hashcat

L`outil nous allons utiliser est appelé Hashcat. Officiellement, il est destiné à récupération de mot de passe, mais dans la pratique, cela est un peu comme dire BitTorrent est destiné à télécharger des fichiers sans copyright. Dans la pratique, il est souvent utilisé par les pirates qui tentent de casser les mots de passe volé des serveurs non sécurisés. Comme un effet secondaire, cela en fait un moyen très puissant pour tester la sécurité des mots de passe.6 Password Recovery gratuit Outils pour Windows6 Password Recovery gratuit Outils pour WindowsLire la suite

Remarque: ce tutoriel est pour Windows. Ceux d`entre vous sur Linux peut consulter la vidéo ci-dessous pour une idée de l`endroit où commencer.

Vous pouvez obtenir Hashcat à partir de la page Web de hashcat.net. Téléchargez et décompressez dans votre dossier de téléchargements. La prochaine étape, nous allons avoir besoin obtenir des données auxiliaires pour l`outil. Nous allons acquérir une liste de mots, ce qui est essentiellement une énorme base de données de mots de passe que l`outil peut utiliser comme point de départ, plus précisément l`ensemble des données de rockyou.txt. Téléchargez et le coller dans le dossier Hashcat. Assurez-vous qu`il porte le nom « rockyou.txt »

Maintenant, nous allons avoir besoin d`un moyen de générer les hash. Nous allons utiliser WinMD5, qui est un outil freeware léger qui hash des fichiers spécifiques. Téléchargez, décompressez et déposez-le dans le répertoire Hashcat. Nous allons faire deux nouveaux fichiers texte: hashes.txt et Password.txt. Placez les deux dans le répertoire Hashcat.

C`est tout! Vous avez terminé.

Une histoire populaire des guerres Hacker

Avant d`utiliser effectivement cette application, nous allons parler un peu sur la façon dont les mots de passe se fait cassé, et comment nous sommes arrivés à ce point.

Retour dans l`histoire brumeuse de la science informatique, il était pratique courante pour les sites web pour stocker les mots de passe de l`utilisateur en texte brut. Cela semble être il est logique. Vous devez vérifier que l`utilisateur a envoyé le mot de passe correct. Une façon évidente de le faire est de conserver une copie des mots de passe à portée de main dans un petit fichier quelque part, et vérifier le mot de passe de l`utilisateur soumis contre la liste. Facile.

Ce fut une catastrophe énorme. Les pirates informatiques gagneraient l`accès au serveur via une tactique sournoise (comme demander poliment), voler la liste des mots de passe, connectez-vous et voler l`argent de tout le monde. Comme les chercheurs en sécurité se relevèrent de l`épave fumante de cette catastrophe, il était clair que nous devions faire quelque chose de différent. La solution a été hachage.

Pour ceux-ci, un pas familier fonction de hachage est un morceau de code qui prend un morceau de l`information et brouille le haut mathématiquement en une pièce de longueur fixe de gibberish. On appelle cela « hachage » les données. Ce qui est cool à leur sujet est qu`ils vont dans une seule direction. Il est très facile de prendre un morceau d`information et de comprendre son hachage unique. Il est très difficile de prendre un hachage et trouver une information qui le génère. En fait, si vous utilisez un mot de passe aléatoire, vous devez essayer toutes les combinaisons possibles afin de le faire, ce qui est plus ou moins impossible.Tout cela MD5 Hash Stuff signifie en fait [Technologie Explained]Tout cela MD5 Hash Stuff signifie en fait [Technologie Explained]Voici une course vers le bas plein de MD5, hachant et un petit aperçu des ordinateurs et la cryptographie.Lire la suite

Ceux d`entre vous suivant le long de la maison peut-être remarqué que hash ont des propriétés très utiles pour les applications de mot de passe. Maintenant, au lieu de stocker le mot de passe, vous pouvez stocker les hash des mots de passe. Lorsque vous voulez vérifier un mot de passe, vous hash, le supprimer l`original, et vérifiez contre la liste des hash. Les fonctions de hachage tous offrent les mêmes résultats, donc vous pouvez toujours vérifier qu`ils ont soumis les mots de passe corrects. Crucialement, les mots de passe en texte clair ne sont jamais stockés réels sur le serveur. Ainsi, lorsque les pirates violent le serveur, ils ne peuvent pas voler les mots de passe - seulement hash inutiles. Cela fonctionne assez bien.

La réponse des pirates à c`était de passer beaucoup de temps et d`énergie à venir avec des moyens très intelligent pour inverser hash.

Comment fonctionne Hashcat

Nous pouvons utiliser plusieurs stratégies pour cela. L`un des plus robuste est celui qui utilise Hashcat, ce qui est à remarquer que les utilisateurs ne sont pas très imaginatifs et ont tendance à prendre les mêmes sortes de mots de passe.

Par exemple, la plupart des mots de passe consistent en un ou deux mots anglais, quelques chiffres, et peut-être quelques remplacements de lettre « Leet-speak » ou de capitalisation aléatoire. Des mots cueillis, certains sont plus susceptibles que les autres: « mot de passe « , le nom du service, votre nom d`utilisateur et « bonjour » sont tous populaires. Ditto surnoms populaires, et l`année en cours.

Sachant cela, vous pouvez commencer à générer des hypothèses très plausibles sur ce que différents utilisateurs ont choisi, ce qui devrait (éventuellement) vous permettre de deviner correctement, briser le hachage, et avoir accès à leurs informations de connexion. Cela ressemble à une stratégie sans espoir, mais rappelez-vous que les ordinateurs sont ridiculement rapide. Un ordinateur moderne peut essayer des millions de suppositions par seconde.

C`est ce que nous allons faire aujourd`hui. Nous allons faire semblant que vos mots de passe sont dans une liste de hachage dans les mains d`un pirate malveillant, et en exécutant le même outil de craquage hachage que les pirates utilisent sur eux. Pensez-y comme un exercice d`incendie pour votre sécurité en ligne. Voyons comment ça se passe!

Comment utiliser Hashcat

Tout d`abord, nous devons générer les hash. Ouvrez WinMD5 et votre fichier « password.txt » (dans le bloc-notes). Entrez l`un des mots de passe (un seul). Enregistrez le fichier. Ouvrez-le à l`aide WinMD5. Vous verrez une petite boîte contenant le hachage du fichier. Copiez ce dans votre fichier « hashes.txt », et enregistrez-le. Répétez ce, en ajoutant chaque fichier à une nouvelle ligne dans le fichier « hashes.txt », jusqu`à ce que vous avez un hachage pour chaque mot de passe que vous utilisez régulièrement. Alors, juste pour le plaisir, mettre dans le hachage pour le mot « mot de passe » comme la dernière ligne.

hash

Il convient de noter ici que MD5 est pas un très bon format pour stocker les hashs - il est assez rapide pour calculer, ce qui rend plus viable forçant brute. Puisque nous faisons des essais destructifs, c`est en fait un plus pour nous. Dans un mot de passe réel fuite de nos mots de passe seraient hachés avec Scrypt ou une autre fonction de hachage sécurisée, qui sont plus lents à tester. En utilisant MD5, nous pouvons simuler essentiellement jeter beaucoup plus de puissance de traitement et de temps au problème que nous avons effectivement disponible.

WinMD5Running

Ensuite, assurez-vous que le fichier « hashes.txt » a été enregistré, et mettre en place de Windows PowerShell. Accédez au dossier Hashcat (cd .. monte un niveau, ls énumère les dossiers en cours et cd [nom de fichier] entre dans un dossier dans le répertoire courant). maintenant, tapez ./hashcat-cli32.exe -hash-type = 0 -Attaque-mode = 8 hashes.txt rockyou.txt.

Video: Impossible: Essaie de ne pas échouer dans ce test! (test du cerveau avec réponses)

Cette commande dit essentiellement « exécuter l`application Hashcat. Réglez-le à travailler sur MD5 hash, et utiliser une attaque « mode de prince » (qui utilise une variété de stratégies différentes pour créer des variations sur les mots de la liste). Essayez de casser les entrées dans le fichier « hashes.txt », et utiliser le fichier « rockyou.txt » comme un dictionnaire.

Appuyez sur Entrée, et accepter le CLUF (qui dit essentiellement « Je jure que je pinky ne pirater quoi que ce soit avec ce »), puis le laisser tourner. Le hachage pour mot de passe doit apparaître dans une seconde ou deux. Après cela, il est juste une question d`attente. mots de passe faibles se transformeront en quelques minutes sur un processeur rapide et moderne. les mots de passe normaux apparaîtra dans quelques heures à un jour ou deux. mots de passe forts peuvent prendre un temps très long. Un de mes anciens mots de passe a été cassé en moins de dix minutes.

Video: Mortal Kombat X-Tester votre Force-la revanche (FR)

hashcatrunning

Vous pouvez laisser cette course aussi longtemps que vous vous sentez comme. Je suggère au moins une nuit, ou sur votre PC pendant que vous êtes au travail. Si vous le faites 24 heures, votre mot de passe est probablement assez fort pour la plupart des applications - bien que ce n`est pas une garantie. Les pirates informatiques peuvent être disposés à exécuter ces attaques depuis longtemps, ou avoir accès à une meilleure liste de mots. En cas de doute au sujet de votre sécurité mot de passe, obtenir un meilleur.

Mon mot de passe a été brisé: Et maintenant?

Plus que probablement, certains de vos mots de passe ne résistaient pas. Alors, comment pouvez-vous générer des mots de passe pour les remplacer? Comme il se trouve, une technique très forte (popularisé par xkcd) est de passer des phrases. Ouvrez un livre le plus proche, retourner à une page au hasard, et de mettre votre doigt vers le bas sur une page. Prenez le plus proche nom, verbe, adjectif ou adverbe, et en souvenir. Lorsque vous avez quatre ou cinq, les mush ensemble sans espaces, des chiffres ou capitalisations. NE PAS utiliser « correcthorsebatterystaple ». Il est malheureusement devenu populaire comme un mot de passe, et est inclus dans de nombreux lexiques.

Un mot de passe par exemple que je viens d`une anthologie générée de science-fiction qui était assis sur ma table basse est « leanedsomeartisansharmingdarling » (ne pas utiliser celui-ci, non plus). Ceci est beaucoup plus facile de se rappeler qu`une chaîne arbitraire de lettres et de chiffres, et est probablement plus sûr. locuteurs natifs anglais ont un vocabulaire de travail d`environ 20 000 mots. En conséquence, pour une séquence de cinq choisis au hasard mots, il y a 20 000 ^ 5, soit environ trois sextillion combinaisons possibles. Ceci est bien au-delà de la portée de toute attaque de force brute actuelle.

En revanche, un mot de passe de huit caractères choisis au hasard serait synthétisé en termes de caractères, avec environ 80 possibilités, y compris les majuscules, minuscules, chiffres, caractères et espaces. 80 ^ 8 est seulement quadrillions. Cela semble encore grand, mais il est en fait la rupture dans le domaine du possible. Étant donné dix ordinateurs de bureau haut de gamme (dont chacun peut faire environ dix millions hash par seconde), qui pourrait être forcée brute dans quelques mois - et la sécurité se brise complètement si elle est pas vraiment aléatoire. Il est aussi beaucoup plus difficile à retenir.

Une autre option est d`utiliser un gestionnaire de mot de passe, ce qui peut générer des mots de passe sécurisés pour vous à la volée, qui peuvent tous être « déverrouillé » à l`aide d`un seul mot de passe maître. Il vous reste à choisir un vraiment bon mot de passe maître (et si vous l`oubliez, vous êtes en difficulté) - mais si votre mot de passe sont hash dans une fuite de violation site, vous avez une couche supplémentaire forte de la sécurité.

Vigilance constante

Une bonne sécurité de mot de passe est très difficile, mais il ne nécessite que vous soyez au courant du problème et prendre des mesures pour rester en sécurité. Ce type de test destructif peut être un bon coup de semonce. Il est une chose de savoir, intellectuellement, que vos mots de passe pourraient être peu sûr. Il est une autre de voir réellement pop de Hashcat après quelques minutes.

Comment vos mots de passe peuvent contenir jusqu`à? Faites le nous savoir dans les commentaires!

Articles connexes