Test uw wachtwoordsterkte met dezelfde tool die Hackers gebruiken

Is uw wachtwoord veilig? Hulpmiddelen die uw wachtwoordsterkte beoordelen, hebben een slechte nauwkeurigheid, wat betekent dat de enige manier om uw wachtwoorden echt te testen, is om ze te doorbreken. Laten we kijken naar hoe.

Is uw wachtwoord veilig?  Hulpmiddelen die uw wachtwoordsterkte beoordelen, hebben een slechte nauwkeurigheid, wat betekent dat de enige manier om uw wachtwoorden echt te testen, is om ze te doorbreken.  Laten we kijken naar hoe.
Advertentie

Is uw wachtwoord veilig? We hebben allemaal veel advies gehoord over wat voor soort wachtwoorden je nooit mag kiezen - en er zijn verschillende tools die beweren dat je de beveiliging van je wachtwoord online kunt beoordelen. Leg je wachtwoorden door de crack-test met deze vijf wachtwoordsterktegereedschappen Zet je wachtwoorden Door de crack-test met deze vijf wachtwoordsterktegereedschappen Iedereen heeft een aardig aantal 'vragen over het kraken van een wachtwoord' gelezen. Het is veilig om te zeggen dat de meeste van hen voor schandelijke doeleinden zijn, in plaats van een nieuwsgierige. Het overtreden van wachtwoorden ... Lees meer. Deze kunnen echter alleen dubieus nauwkeurig zijn. De enige manier om de beveiliging van uw wachtwoorden echt te testen, is proberen ze te doorbreken.

Dus vandaag gaan we precies dat doen. Ik ga je laten zien hoe je een tool gebruikt die echte hackers gebruiken om wachtwoorden te kraken, en je laten zien hoe je het kunt gebruiken om je wachtwoord te controleren. En als de test mislukt, laat ik u zien hoe u veiligere wachtwoorden kunt kiezen die het lang volhouden.

Hashcat instellen

De tool die we gaan gebruiken, heet Hashcat. Officieel is het bedoeld voor wachtwoordherstel 6 Gratis wachtwoordherstelprogramma's voor Windows 6 Gratis wachtwoordherstelprogramma's voor Windows Lees meer, maar in de praktijk lijkt dit een beetje op BitTorrent Beat the Bloat! Probeer deze lichtgewicht BitTorrent-clients Beat the Bloat! Probeer deze lichtgewicht BitTorrent-clients Guns delen geen illegale bestanden. Mensen delen illegale bestanden. Of, wacht, hoe gaat het opnieuw? Wat ik bedoel te zeggen is, BitTorrent moet niet worden ontmoedigd op basis van zijn potentieel voor piraterij. Lees Meer is bedoeld om auteursrechtelijk beschermde bestanden te downloaden. In de praktijk wordt het vaak gebruikt door hackers die proberen om wachtwoorden te hacken die zijn gestolen van onveilige servers Ashley Madison Leak No Big Deal? Think Again Ashley Madison Leak No Big Deal? Think Again Discreet online datingsite Ashley Madison (voornamelijk gericht op vals spelende echtgenoten) is gehackt. Dit is echter een veel ernstiger probleem dan in de pers is verbeeld, met aanzienlijke gevolgen voor de gebruikersveiligheid. Lees verder . Als bijwerking is dit een zeer krachtige manier om wachtwoordbeveiliging te testen.

Opmerking: deze tutorial is voor Windows. Diegenen onder u op Linux kunnen de onderstaande video bekijken voor een idee van waar te beginnen.

Je kunt Hashcat downloaden van de hashcat.net-webpagina. Download en pak het uit in uw downloadmap. Vervolgens hebben we enkele aanvullende gegevens voor de tool nodig. We gaan een woordenlijst verwerven, die in feite een enorme database van wachtwoorden is die de tool als uitgangspunt kan gebruiken, met name de dataset rockyou.txt. Download het en plak het in de Hashcat-map. Zorg ervoor dat het 'rockyou.txt' wordt genoemd

Nu hebben we een manier nodig om de hashes te genereren. We gebruiken WinMD5, een lichtgewicht freeware-hulpmiddel dat specifieke bestanden hashes. Download het, pak het uit en laat het in de Hashcat-map vallen. We gaan twee nieuwe tekstbestanden maken: hashes.txt en password.txt. Plaats beide in de Hashcat-map.

Dat is het! Je bent klaar.

Een volksgeschiedenis van de Hacker Wars

Voordat we deze applicatie daadwerkelijk gaan gebruiken, laten we een beetje praten over hoe de wachtwoorden daadwerkelijk worden verbroken en hoe we tot dit punt zijn gekomen.

Lang geleden, in de mistige geschiedenis van de informatica, was het standaard gebruik voor websites om gebruikerswachtwoorden op te slaan in platte tekst. Dit lijkt logisch. U moet controleren of de gebruiker het juiste wachtwoord heeft verzonden. Een voor de hand liggende manier om dat te doen, is door een kopie van de wachtwoorden bij de hand te houden in een klein bestand ergens, en het door de gebruiker verzonden wachtwoord te vergelijken met de lijst. Gemakkelijk.

Dit was een enorme ramp. Hackers zouden toegang krijgen tot de server via een sluwe tactiek (zoals beleefd vragen), de wachtwoordlijst stelen, inloggen en ieders geld stelen. Toen beveiligingsonderzoekers zichzelf oppikten van het rokende wrak van die ramp, was het duidelijk dat we iets anders moesten doen. De oplossing was hashen.

Voor degenen die niet bekend zijn, een hash-functie What All This MD5 Hash Stuff betekent in feite [Technology Explained] What All This MD5 Hash Stuff betekent in feite [Technology Explained] Hier is een volledige run-down van MD5, hashen en een klein overzicht van computers en cryptografie . Read More is een stuk code dat een stukje informatie in beslag neemt en het op wiskundige wijze door elkaar haalt tot een stuk brabbeltaal met een vaste lengte. Dit wordt 'hashing' van de gegevens genoemd. Wat cool is aan hen is dat ze maar in één richting gaan. Het is heel gemakkelijk om een ​​stukje informatie te achterhalen en de unieke hash te achterhalen. Het is heel moeilijk om een ​​hash te nemen en een stuk informatie te vinden dat het genereert. Als je een willekeurig wachtwoord gebruikt, moet je in feite elke mogelijke combinatie proberen om het te doen, wat min of meer onmogelijk is.

Degenen onder jullie die thuis meegaan, kunnen opmerken dat hashes enkele echt nuttige eigenschappen hebben voor wachtwoordtoepassingen. Nu kunt u in plaats van het wachtwoord opslaan, de hashes van de wachtwoorden opslaan. Wanneer u een wachtwoord wilt verifiëren, hash het, verwijdert u het origineel en vinkt u het aan in de lijst met hashes. Hash-functies leveren allemaal hetzelfde resultaat op, dus u kunt nog steeds controleren of ze de juiste wachtwoorden hebben ingevoerd. Cruciaal is dat de echte leesbare wachtwoorden nooit worden opgeslagen op de server. Dus wanneer hackers de server doorbreken, kunnen ze geen wachtwoorden stelen - alleen nutteloze hashes. Dit werkt redelijk goed.

Het antwoord van de hackers hierop was om veel tijd en energie te spenderen aan het bedenken van echt slimme manieren om hashes om te keren Ophcrack - Een wachtwoordhack tool om bijna elk Windows-wachtwoord te kraken Ophcrack - Een wachtwoordhack tool om bijna elk Windows-wachtwoord te kraken Er is een veel verschillende redenen waarom men een aantal wachtwoord hack-tools zou willen gebruiken om een ​​Windows-wachtwoord te hacken. Lees verder .

Hoe Hashcat werkt

Hiervoor kunnen we verschillende strategieën gebruiken. Een van de meest robuuste is degene die Hashcat gebruikt, namelijk opmerken dat gebruikers niet erg fantasierijk zijn en dezelfde soorten wachtwoorden kiezen.

De meeste wachtwoorden bestaan ​​bijvoorbeeld uit een of twee Engelse woorden, een paar cijfers en misschien enkele "leet-speak" lettervervangingen of willekeurig hoofdlettergebruik. Van de gekozen woorden zijn er meer dan andere: 'wachtwoord', de naam van de service, uw gebruikersnaam en 'hallo' zijn allemaal populair. Idem populaire huisdierennamen en het huidige jaar.

Als u dit weet, kunt u beginnen met het genereren van zeer plausibele schattingen over wat verschillende gebruikers hebben geplukt, wat u (uiteindelijk) moet toestaan ​​om correct te raden, de hash te verbreken en toegang te krijgen tot hun inloggegevens. Dit klinkt als een hopeloze strategie, maar vergeet niet dat computers belachelijk snel zijn. Een moderne computer kan miljoenen gokken per seconde proberen.

Dit is wat we vandaag gaan doen. We doen alsof uw wachtwoorden zich in een hashlijst bevinden in de handen van een kwaadwillende hacker en dezelfde hash-cracking-tool gebruiken die hackers daarop gebruiken. Zie het als een brandoefening voor uw online beveiliging. Laten we zien hoe het gaat!

Hashcat gebruiken

Eerst moeten we de hashes genereren. Open WinMD5 en uw 'wachtwoord.txt'-bestand (in kladblok). Voer een van uw wachtwoorden in (slechts één). Bewaar het bestand. Open het met WinMD5. Je ziet een klein vakje met de hash van het bestand. Kopieer dat naar je 'hashes.txt' bestand en sla het op. Herhaal dit en voeg elk bestand toe aan een nieuwe regel in het bestand 'hashes.txt', totdat je een hash hebt voor elk wachtwoord dat je routinematig gebruikt. Voer dan, gewoon voor de lol, de hash in als het laatste woord voor het woord 'wachtwoord'.

hashes

Het is de moeite waard hier op te merken dat MD5 geen erg goed formaat is voor het opslaan van wachtwoord-hashes - het is vrij snel te berekenen, waardoor brute forcering duurzamer wordt. Omdat we destructieve tests uitvoeren, is dit eigenlijk een pluspunt voor ons. In een echt wachtwoord lek zouden onze wachtwoorden gehashed worden met Scrypt of een andere veilige hash-functie, die langzamer te testen zijn. Door MD5 te gebruiken, kunnen we in essentie simuleren dat we veel meer verwerkingskracht en tijd aan het probleem besteden dan we daadwerkelijk beschikbaar hebben.

WinMD5Running

Zorg er vervolgens voor dat het bestand 'hashes.txt' is opgeslagen en open Windows PowerShell. Navigeer naar de Hashcat-map ( cd ... gaat een niveau omhoog, ls geeft een overzicht van de huidige bestanden en cd [bestandsnaam] voert een map in de huidige map in). Typ nu ./hashcat-cli32.exe -hash-type = 0 -aanvalmodus = 8 hashes.txt rockyou.txt .

Die opdracht zegt in feite: "Voer de Hashcat-applicatie uit. Stel het in op MD5-hashes en gebruik een aanval met 'prinsmodus' (die een verscheidenheid aan verschillende strategieën gebruikt om variaties op de woorden in de lijst te maken). Probeer de vermeldingen in het bestand 'hashes.txt' te doorbreken en gebruik het bestand 'rockyou.txt' als een woordenboek.

Druk op enter en accepteer de EULA (die in feite zegt: "Ik zweer dat ik hier niets mee hack") en laat het dan lopen. De hash voor wachtwoord zou binnen een seconde of twee moeten verschijnen. Daarna is het gewoon wachten. Zwakke wachtwoorden verschijnen binnen enkele minuten op een snelle, moderne CPU. Normale wachtwoorden verschijnen binnen een paar uur tot een dag of twee. Sterke wachtwoorden kunnen erg lang duren. Een van mijn oudere wachtwoorden was binnen tien minuten onderbroken.

hashcatrunning

Je kunt dit zo lang laten draaien als je wilt. Ik raad je aan om op zijn minst 's nachts of op je pc te werken terwijl je aan het werk bent. Als je er 24 uur over doet, is je wachtwoord waarschijnlijk sterk genoeg voor de meeste applicaties, hoewel dit geen garantie is. Hackers zijn mogelijk bereid om deze aanvallen lang uit te voeren of hebben toegang tot een betere woordenlijst. Als u twijfelt over uw wachtwoordbeveiliging, zorg dan voor een betere.

Mijn wachtwoord was kapot: wat nu?

Meer dan waarschijnlijk hebben sommige van uw wachtwoorden geen stand gehouden. Dus hoe kun je sterke wachtwoorden genereren om ze te vervangen? Het blijkt dat een echt sterke techniek (gepopulariseerd door xkcd) pass-phrases is. Open het dichtstbijzijnde boek, blader naar een willekeurige pagina en leg uw vinger op een pagina. Neem het dichtstbijzijnde zelfstandig naamwoord, werkwoord, bijvoeglijk naamwoord of bijwoord, en onthoud het. Als je vier of vijf hebt, knoeiboel ze samen zonder spaties, cijfers of hoofdletters. Gebruik NIET "correcthorsebatterij". Het is helaas populair geworden als een wachtwoord en is opgenomen in veel woordenlijsten.

Een voorbeeld van een wachtwoord dat ik net heb gegenereerd op basis van een sciencefiction-bloemlezing die op mijn salontafel zat, is "leanedsomeartisansharmingdarling" (gebruik deze ook niet). Dit is een stuk gemakkelijker te onthouden dan een willekeurige reeks letters en cijfers, en is waarschijnlijk veiliger. Native Engels-sprekenden hebben een werkende woordenschat van ongeveer 20.000 woorden. Dientengevolge zijn er voor een reeks van vijf willekeurig gekozen gewone woorden 20.000 ^ 5, of ongeveer drie zesduizenden mogelijke combinaties. Dit is ver voorbij het begrip van elke huidige brute force-aanval.

Daarentegen zou een willekeurig gekozen wachtwoord van acht tekens worden gesynthetiseerd in termen van tekens, met ongeveer 80 mogelijkheden, waaronder hoofdletters, kleine letters, cijfers, tekens en spaties. 80 ^ 8 is slechts een vierhoek. Dat klinkt nog steeds groot, maar het breken ervan ligt eigenlijk binnen het rijk van mogelijkheden. Gegeven tien high-end desktopcomputers (die elk ongeveer tien miljoen hashes per seconde kunnen doen), kan dat binnen enkele maanden bruut worden geforceerd - en de beveiliging valt volledig uit elkaar als het niet echt willekeurig is. Het is ook veel moeilijker om te onthouden.

Een andere optie is om een ​​wachtwoordbeheerder te gebruiken, die u on-the-fly beveiligde wachtwoorden kan genereren, die allemaal kunnen worden 'ontgrendeld' met een enkel hoofdwachtwoord. Je moet nog steeds een echt goed hoofdwachtwoord kiezen (en als je het vergeet, zit je in de problemen) - maar als je wachtwoordhashes zijn gelekt in een website-schending, heb je een sterke extra beveiligingslaag.

Constante waakzaamheid

Goede wachtwoordbeveiliging is niet erg moeilijk, maar het vereist wel dat u op de hoogte bent van het probleem en stappen zet om veilig te blijven. Dit soort destructieve testen kan een goede wake-up call zijn. Het is één ding om intellectueel te weten dat uw wachtwoorden mogelijk onveilig zijn. Het is een ander om het na een paar minuten daadwerkelijk uit Hashcat te zien komen.

Hoe hebben uw wachtwoorden standhouden? Laat het ons weten in de reacties!

In this article