Advertentie

Is je wachtwoord veilig? We hebben allemaal veel advies gehoord over wat voor soort wachtwoorden u nooit mag kiezen - en er zijn verschillende tools die beweren Beoordeel de veiligheid van uw wachtwoord online Zet uw wachtwoorden door de crack-test met deze vijf tools voor wachtwoordsterkteWe hebben allemaal een groot deel van de vragen over 'hoe kan ik een wachtwoord kraken' gelezen. Het is veilig om te zeggen dat de meeste van hen voor snode doeleinden zijn in plaats van nieuwsgierig. Wachtwoorden overtreden ... Lees verder . Deze kunnen echter alleen twijfelachtig nauwkeurig zijn. De enige manier om de beveiliging van uw wachtwoorden echt te testen, is door ze te breken.

Dus vandaag gaan we precies dat doen. Ik laat je zien hoe je een tool gebruikt die echte hackers gebruiken om wachtwoorden te kraken, en ik laat je zien hoe je die kunt gebruiken om die van jou te controleren. En als de test niet slaagt, laat ik je zien hoe je veiligere wachtwoorden kunt kiezen zullen Vertraging.

instagram viewer

Hashcat instellen

De tool die we gaan gebruiken heet Hashcat. Officieel is het bedoeld voor wachtwoord herstel 6 gratis wachtwoordhersteltools voor Windows Lees verder , maar in de praktijk lijkt dit een beetje op zeggen BitTorrent Klop de Bloat! Probeer deze lichtgewicht BitTorrent-clientsGuns delen geen illegale bestanden. Mensen delen illegale bestanden. Of wacht, hoe gaat het weer? Wat ik wil zeggen is dat BitTorrent niet mag worden verspreid op basis van zijn potentieel voor piraterij. Lees verder is bedoeld om niet-auteursrechtelijk beschermde bestanden te downloaden. In de praktijk wordt het vaak gebruikt door hackers die wachtwoorden proberen te kraken gestolen van onveilige servers Ashley Madison Leak No Big Deal? Denk nog eens naDiscrete online datingsite Ashley Madison (voornamelijk gericht op bedriegende echtgenoten) is gehackt. Dit is echter een veel ernstiger probleem dan in de pers is beschreven, met aanzienlijke gevolgen voor de veiligheid van gebruikers. Lees verder . Als bijwerking maakt dit het een zeer krachtige manier om de wachtwoordbeveiliging te testen.

Let op: deze tutorial is voor Windows. Degenen onder jullie op Linux kunnen de onderstaande video bekijken voor een idee van waar te beginnen.

Je kunt Hashcat krijgen van de hashcat.net webpagina. Download het en pak het uit in uw downloadmap. Vervolgens hebben we wat aanvullende gegevens nodig voor de tool. We gaan een woordenlijst aanschaffen, wat in feite een enorme database met wachtwoorden is die de tool als uitgangspunt kan gebruiken, met name de rockyou.txt dataset. Download het en plak het in de Hashcat-map. Zorg ervoor dat het ‘rockyou.txt’ heet

Nu hebben we een manier nodig om hashes te genereren. We gebruiken WinMD5, een lichtgewicht freeware-tool die specifieke bestanden hasht. Download het, pak het uit en zet het neer in de Hashcat-directory. We gaan twee nieuwe tekstbestanden maken: hashes.txt en wachtwoord.txt. Zet beide in de Hashcat-directory.

Dat is het! U bent klaar.

Een volksgeschiedenis van de Hacker Wars

Laten we, voordat we deze applicatie daadwerkelijk gebruiken, een beetje praten over hoe wachtwoorden daadwerkelijk worden verbroken en hoe we tot dit punt zijn gekomen.

Lang geleden in de mistige geschiedenis van de informatica was het de standaardpraktijk voor websites om gebruikerswachtwoorden in platte tekst op te slaan. Dit lijkt logisch. U moet controleren of de gebruiker het juiste wachtwoord heeft verzonden. Een voor de hand liggende manier om dat te doen, is door een kopie van de wachtwoorden ergens in een klein bestand bij de hand te houden en het door de gebruiker verstrekte wachtwoord te vergelijken met de lijst. Gemakkelijk.

Dit was een enorme ramp. Hackers zouden toegang krijgen tot de server via een sluwe tactiek (zoals beleefd vragen), steel de wachtwoordlijst, log in en steel het geld van iedereen. Toen beveiligingsonderzoekers zichzelf ophaalden van het rokende wrak van die ramp, was het duidelijk dat we iets anders moesten doen. De oplossing was hashen.

Voor degenen die niet bekend zijn, een hash-functie Wat al dit MD5-hasj-spul eigenlijk betekent [Technologie uitgelegd]Hier is een volledig overzicht van MD5, hashing en een klein overzicht van computers en cryptografie. Lees verder is een stuk code dat een stuk informatie nodig heeft en het wiskundig opsomt tot een stuk onzin met vaste lengte. Dit heet ‘hashen’ de data. Het leuke aan hen is dat ze maar in één richting gaan. Het is heel gemakkelijk om een ​​stukje informatie te nemen en de unieke hash te achterhalen. Het is erg moeilijk om hasj te pakken en een stukje informatie te vinden dat het genereert. Als je een willekeurig wachtwoord gebruikt, moet je zelfs elke mogelijke combinatie proberen om het te doen, wat min of meer onmogelijk is.

Degenen onder u die thuis volgen, zullen misschien merken dat hashes een aantal echt nuttige eigenschappen hebben voor wachtwoordtoepassingen. In plaats van het wachtwoord op te slaan, kunt u nu de hashes van de wachtwoorden opslaan. Als je een wachtwoord wilt verifiëren, hash je het, verwijder je het origineel en vergelijk je het met de lijst met hashes. Hash-functies leveren allemaal dezelfde resultaten, dus u kunt nog steeds controleren of ze de juiste wachtwoorden hebben ingevoerd. Cruciaal is dat de eigenlijke wachtwoorden in platte tekst nooit op de server worden opgeslagen. Dus wanneer hackers de server binnendringen, kunnen ze geen wachtwoorden stelen - alleen nutteloze hashes. Dit werkt redelijk goed.

De reactie van hackers hierop was om veel tijd en energie te steken in het bedenken echt slimme manieren om hashes om te keren Ophcrack - Een wachtwoordhacktool om bijna elk Windows-wachtwoord te krakenEr zijn veel verschillende redenen waarom je een willekeurig aantal wachtwoordhacktools zou willen gebruiken om een ​​Windows-wachtwoord te hacken. Lees verder .

Hoe Hashcat werkt

Hiervoor kunnen we verschillende strategieën gebruiken. Een van de meest robuuste is die van Hashcat, namelijk dat gebruikers niet erg vindingrijk zijn en vaak dezelfde soorten wachtwoorden kiezen.

De meeste wachtwoorden bestaan ​​bijvoorbeeld uit een of twee Engelse woorden, een paar cijfers en misschien een aantal "leet-speak" lettervervangingen of willekeurige hoofdletters. Van de gekozen woorden zijn sommige waarschijnlijker dan andere: ‘wachtwoord’, de naam van de service, uw gebruikersnaam en ‘hallo’ zijn allemaal populair. Idem populaire huisdierennamen en het huidige jaar.

Als je dit weet, kun je beginnen met het genereren van zeer plausibele gissingen over wat verschillende gebruikers zouden hebben gekozen, waarmee je (uiteindelijk) correct kunt raden, de hash kunt breken en toegang kunt krijgen tot hun login Inloggegevens. Dit klinkt als een hopeloze strategie, maar onthoud dat computers belachelijk snel zijn. Een moderne computer kan miljoenen gissingen per seconde proberen.

Dit is wat we vandaag gaan doen. We doen net alsof je wachtwoorden in een hash-lijst staan ​​in de handen van een kwaadwillende hacker en dezelfde hash-kraak-tool gebruiken die hackers erop gebruiken. Zie het als een brandoefening voor uw online beveiliging. Laten we zien hoe het gaat!

Hoe Hashcat te gebruiken

Eerst moeten we de hashes genereren. Open WinMD5 en je ‘wachtwoord.txt’ -bestand (in kladblok). Voer een van uw wachtwoorden in (slechts één). Bewaar het bestand. Open het met WinMD5. Je ziet een klein vakje met de hash van het bestand. Kopieer dat naar je ‘hashes.txt’ bestand en sla het op. Herhaal dit en voeg elk bestand toe aan een nieuwe regel in het ‘hashes.txt’ -bestand, totdat je een hash hebt voor elk wachtwoord dat je routinematig gebruikt. Voer dan, voor de lol, de hash in voor het woord ‘wachtwoord’ als laatste regel.

hashes

Het is vermeldenswaard dat MD5 geen erg goed formaat is voor het opslaan van wachtwoordhashes - het is vrij snel te berekenen, waardoor brute forcing levensvatbaarder wordt. Aangezien we destructieve tests uitvoeren, is dit eigenlijk een pluspunt voor ons. In een echt wachtwoordlek zouden onze wachtwoorden worden gehasht met Scrypt of een andere veilige hashfunctie, die langzamer te testen is. Door MD5 te gebruiken, kunnen we in wezen simuleren dat we veel meer verwerkingskracht en tijd naar het probleem gooien dan we eigenlijk beschikbaar hebben.

WinMD5Running

Zorg er vervolgens voor dat het ‘hashes.txt’ bestand is opgeslagen en open Windows PowerShell. Navigeer naar de Hashcat-map (cd .. gaat een niveau omhoog, ls geeft de huidige bestanden weer, en cd [bestandsnaam] komt in een map in de huidige directory). Typ nu ./hashcat-cli32.exe –hash-type = 0 –aanval-modus = 8 hashes.txt rockyou.txt.

Die opdracht zegt in feite: "Voer de Hashcat-applicatie uit. Stel het in om te werken op MD5-hashes en gebruik een "prins-modus" -aanval (die verschillende strategieën gebruikt om variaties op de woorden in de lijst te creëren). Probeer de vermeldingen in het ‘hashes.txt’ -bestand te breken en gebruik het ‘rockyou.txt’ -bestand als woordenboek.

Druk op Enter en accepteer de EULA (die in feite zegt: "Ik zweer je dat ik hiermee niets zal hacken"), en laat het dan draaien. De hash voor het wachtwoord moet binnen een paar seconden verschijnen. Daarna is het gewoon wachten. Zwakke wachtwoorden verschijnen binnen enkele minuten op een snelle, moderne CPU. Normale wachtwoorden verschijnen binnen een paar uur tot een dag of twee. Sterke wachtwoorden kunnen erg lang duren. Een van mijn oudere wachtwoorden was binnen tien minuten gebroken.

hashcatrunning

Je kunt dit laten lopen zolang je maar wilt. Ik raad ten minste 's nachts aan, of op je pc terwijl je aan het werk bent. Als u het 24 uur haalt, is uw wachtwoord waarschijnlijk sterk genoeg voor de meeste toepassingen - hoewel dit geen garantie is. Hackers zijn mogelijk bereid deze aanvallen lange tijd uit te voeren of hebben toegang tot een betere woordenlijst. Als u twijfelt over uw wachtwoordbeveiliging, koop dan een betere.

Mijn wachtwoord was verbroken: wat nu?

Meer dan waarschijnlijk hielden sommige van uw wachtwoorden niet op. Dus hoe kun je sterke wachtwoorden genereren om ze te vervangen? Het blijkt dat een heel sterke techniek (gepopulariseerd door xkcd) zijn wachtzinnen. Open een boek dat het dichtst bij zit, blader naar een willekeurige pagina en leg je vinger op een pagina. Neem het dichtstbijzijnde zelfstandig naamwoord, werkwoord, bijvoeglijk naamwoord of bijwoord en onthoud het. Als je er vier of vijf hebt, meng ze dan zonder spaties, cijfers of hoofdletters. Gebruik GEEN "correcthorsebatterystaple". Het is helaas populair geworden als wachtwoord en is opgenomen in veel woordenlijsten.

Een voorbeeldwachtwoord dat ik zojuist heb gegenereerd uit een sciencefiction-bloemlezing die op mijn salontafel stond, is 'leanedsomeartisansharmingdarling' (gebruik deze ook niet). Dit is veel gemakkelijker te onthouden dan een willekeurige reeks letters en cijfers, en is waarschijnlijk veiliger. Moedertaalsprekers in het Engels hebben een werkwoordenschat van ongeveer 20.000 woorden. Dientengevolge zijn er voor een reeks van vijf willekeurig gekozen gemeenschappelijke woorden 20.000 ^ 5, of ongeveer drie sextiljoen mogelijke combinaties. Dit ligt ver buiten het bereik van elke huidige brute force-aanval.

Daarentegen zou een willekeurig gekozen wachtwoord van acht tekens worden samengesteld in termen van tekens, met ongeveer 80 mogelijkheden, waaronder hoofdletters, kleine letters, cijfers, tekens en spaties. 80 ^ 8 is slechts een biljard. Dat klinkt nog steeds groot, maar het doorbreken ervan valt eigenlijk binnen de mogelijkheden. Gezien tien high-end desktopcomputers (die elk ongeveer tien miljoen hashes per seconde kunnen doen), dat kan binnen een paar maanden bruut worden gedwongen - en de beveiliging valt volledig uit elkaar als dat niet zo is willekeurig. Het is ook veel moeilijker te onthouden.

Een andere optie is om een ​​wachtwoordbeheerder te gebruiken, die veilige wachtwoorden voor u kan genereren, die allemaal kunnen worden 'ontgrendeld' met een enkel hoofdwachtwoord. Je moet nog steeds een heel goed hoofdwachtwoord kiezen (en als je het vergeet, zit je in de problemen) - maar als je wachtwoord-hashes lekken bij een website-inbreuk, heb je een sterke extra beveiligingslaag.

Constante waakzaamheid

Goede wachtwoordbeveiliging is niet erg moeilijk, maar u moet zich wel bewust zijn van het probleem en stappen ondernemen om veilig te blijven. Dit soort destructieve testen kan een goede wake-up call zijn. Het is één ding om intellectueel te weten dat uw wachtwoorden mogelijk niet veilig zijn. Het is iets anders om het na een paar minuten daadwerkelijk uit Hashcat te zien komen.

Hoe hielden uw wachtwoorden stand? Laat het ons weten in de comments!

Andre, een schrijver en journalist gevestigd in het zuidwesten, blijft gegarandeerd functioneel tot 50 graden Celcius en is waterdicht tot een diepte van twaalf voet.