Testen Sie Ihre Kennwortsicherheit mit denselben Tool-Hackern
Ist dein Passwort sicher? Wir haben alle eine Menge Ratschläge darüber erhalten, welche Art von Kennwörtern Sie niemals wählen sollten - und es gibt verschiedene Tools, die behaupten, die Sicherheit Ihres Passworts online zu bewerten Durch den Rissprüfungstest mit diesen fünf Werkzeugen zur Passwortstärkung Alle von uns haben eine ganze Menge von Fragen zu „Wie kann ich ein Passwort knacken“ gelesen. Man kann mit Sicherheit sagen, dass die meisten von ihnen zu schändlichen Zwecken und nicht zu neugierigen Zwecken dienen. Verstöße gegen Passwörter… Lesen Sie mehr. Diese können jedoch nur zweifelhaft genau sein. Die einzige Möglichkeit, die Sicherheit Ihrer Passwörter zu testen, besteht darin, sie zu brechen.
Heute werden wir genau das tun. Ich werde Ihnen zeigen, wie Sie ein Werkzeug verwenden, mit dem echte Hacker Passwörter knacken, und wie Sie es verwenden, um Ihre Passwörter zu überprüfen. Und wenn der Test nicht erfolgreich ist, zeige ich Ihnen, wie Sie sicherere Passwörter auswählen werden halten.
Hashcat einrichten
Das Werkzeug, das wir verwenden werden, heißt Hashcat. Offiziell ist es für die Wiederherstellung von Passwörtern gedacht. 6 Free Password Recovery Tools für Windows 6 Kostenlose Password Recovery Tools für Windows Weitere Informationen, aber in der Praxis ist dies ein bisschen wie BitTorrent Beat the Bloat! Probieren Sie diese leichten BitTorrent-Kunden aus! Schlagen Sie die Blase auf! Versuchen Sie es mit diesen leichten BitTorrent-Clients. Waffen teilen keine illegalen Dateien. Menschen teilen illegale Dateien. Oder, warte mal, wie geht es wieder? Was ich damit sagen will, ist, BitTorrent sollte nicht aufgrund seines Pirateriepotenzials diszipliniert werden. Weitere Informationen sind zum Herunterladen nicht kopiergeschützter Dateien vorgesehen. In der Praxis wird es häufig von Hackern verwendet, die versuchen, Passwörter zu brechen, die von unsicheren Servern gestohlen wurden. Ashley Madison Leak No Big Deal? Denken Sie noch einmal nach Ashley Madison Leak keine große Sache? Denken Sie nochmal an die diskrete Online-Dating-Seite Ashley Madison (die hauptsächlich darauf ausgerichtet ist, Ehepartner zu betrügen) wurde gehackt. Dies ist jedoch ein weitaus ernsteres Problem als in der Presse dargestellt, was erhebliche Auswirkungen auf die Anwendersicherheit hat. Weiterlesen . Als Nebeneffekt ist dies eine sehr leistungsfähige Möglichkeit, die Passwortsicherheit zu testen.
Hinweis: Dieses Tutorial ist für Windows. Diejenigen unter Linux können sich das Video unten ansehen, um eine Idee zu erhalten, wo Sie anfangen sollen.
Sie können Hashcat von der hashcat.net-Webseite erhalten. Laden Sie es herunter und entpacken Sie es in Ihren Download-Ordner. Als Nächstes benötigen wir einige Hilfsdaten für das Tool. Wir werden eine Wortliste erwerben, die im Grunde eine riesige Datenbank von Passwörtern ist, die das Tool als Ausgangspunkt verwenden kann, insbesondere die Datei rockyou.txt. Laden Sie es herunter und stecken Sie es in den Hashcat-Ordner. Stellen Sie sicher, dass es "rockyou.txt" heißt.
Jetzt brauchen wir eine Möglichkeit, die Hashes zu generieren. Wir verwenden WinMD5, ein leichtes Freeware-Tool, das bestimmte Dateien hasht. Laden Sie es herunter, entpacken Sie es und legen Sie es im Hashcat-Verzeichnis ab. Wir werden zwei neue Textdateien erstellen: hashes.txt und password.txt. Legen Sie beide in das Hashcat-Verzeichnis.
Das ist es! Sie sind fertig.
Eine Volksgeschichte der Hackerkriege
Bevor wir diese Anwendung tatsächlich verwenden, wollen wir ein wenig darüber sprechen, wie Kennwörter tatsächlich beschädigt werden und wie wir zu diesem Punkt gekommen sind.
In der nebligen Geschichte der Informatik war es üblich, dass Webseiten Passwörter in Klartext speichern. Das scheint sinnvoll zu sein. Sie müssen überprüfen, ob der Benutzer das richtige Kennwort eingegeben hat. Eine naheliegende Möglichkeit besteht darin, eine Kopie der vorhandenen Passwörter irgendwo in einer kleinen Datei aufzubewahren und das vom Benutzer übermittelte Passwort mit der Liste zu vergleichen. Einfach.
Dies war eine große Katastrophe. Hacker erhielten Zugriff auf den Server durch eine missbräuchliche Taktik (wie höflich fragen), die Kennwortliste stehlen, sich einloggen und das Geld von jedem stehlen. Als Sicherheitsforscher sich von den rauchenden Trümmern dieser Katastrophe erholten, war es klar, dass wir etwas anderes tun mussten. Die Lösung war Hashing.
Für diejenigen, die nicht vertraut sind, eine Hash-Funktion Was bedeutet das alles, was MD5 tatsächlich bedeutet? Was bedeutet das alles, was MD5 tatsächlich bedeutet? . Read More ist ein Code, der eine Information entnimmt und mathematisch in ein Stück Kauderwelsch mit fester Länge zerlegt. Dies wird als "Hashing" der Daten bezeichnet. Das Coole an ihnen ist, dass sie nur in eine Richtung gehen. Es ist sehr einfach, eine Information mitzunehmen und ihren einzigartigen Hash herauszufinden. Es ist sehr schwer, einen Hash zu nehmen und eine Information zu finden, die ihn erzeugt. Wenn Sie ein zufälliges Passwort verwenden, müssen Sie jede mögliche Kombination ausprobieren, was mehr oder weniger unmöglich ist.
Diejenigen von Ihnen, die zu Hause nachfolgen, stellen möglicherweise fest, dass Hashes einige wirklich nützliche Eigenschaften für Kennwortanwendungen haben. Anstatt das Passwort zu speichern, können Sie jetzt die Hashes der Passwörter speichern. Wenn Sie ein Kennwort überprüfen möchten, müssen Sie es mit einem Hash versehen, das Original löschen und mit der Liste der Hashes vergleichen. Alle Hash-Funktionen liefern die gleichen Ergebnisse. Sie können also immer noch überprüfen, ob sie die richtigen Passwörter übermittelt haben. Entscheidend ist, dass die eigentlichen Klartextpasswörter niemals auf dem Server gespeichert werden. Wenn also Hacker den Server durchbrechen, können sie keine Passwörter stehlen - nur nutzlose Hashes. Das funktioniert einigermaßen gut.
Die Antwort der Hacker darauf war, viel Zeit und Energie darauf zu verwenden, wirklich clevere Methoden zur Umkehrung von Hashes zu finden Es gibt viele verschiedene Gründe, warum man mit einer beliebigen Anzahl von Kennwort-Hack-Tools ein Windows-Kennwort hacken möchte. Weiterlesen .
Wie funktioniert Hashcat?
Dafür können wir verschiedene Strategien verwenden. Eine der robustesten ist diejenige, die Hashcat verwendet. Sie stellt fest, dass Benutzer nicht sehr einfallsreich sind und die gleichen Kennwörter verwenden.
Die meisten Passwörter bestehen beispielsweise aus einem oder zwei englischen Wörtern, einigen Zahlen und möglicherweise einigen “leet-sprechen” Briefersatz oder zufällige Großschreibung. Einige der Wörter sind wahrscheinlicher als andere: "Kennwort", der Name des Dienstes, Ihr Benutzername und "Hallo" sind alle populär. Dito populäre Kosenamen und das laufende Jahr.
Wenn Sie dies wissen, können Sie sehr plausible Vermutungen darüber generieren, was andere Benutzer ausgewählt haben könnten, was Ihnen (möglicherweise) erlaubt, richtig zu raten, den Hash zu brechen und Zugriff auf die Anmeldeinformationen zu erhalten. Das hört sich nach einer hoffnungslosen Strategie an, aber denken Sie daran, dass Computer lächerlich schnell sind. Ein moderner Computer kann Millionen von Vermutungen pro Sekunde versuchen.
Das machen wir heute. Wir geben vor, dass sich Ihre Passwörter in einer Hash-Liste in der Hand eines böswilligen Hackers befinden und dasselbe Hash-Cracking-Tool ausführen, das Hacker für sie verwenden. Betrachten Sie es als Brandschutzübung für Ihre Online-Sicherheit. Mal sehen wie es geht!
Verwendung von Hashcat
Zuerst müssen wir die Hashes generieren. Öffnen Sie WinMD5 und Ihre Datei 'password.txt' (im Editor). Geben Sie eines Ihrer Passwörter ein (nur eines). Speicher die Datei. Öffnen Sie es mit WinMD5. Sie sehen eine kleine Box mit dem Hash der Datei. Kopieren Sie das in Ihre 'hashes.txt'-Datei und speichern Sie es. Wiederholen Sie dies, indem Sie jede Datei in eine neue Zeile in der Datei 'hashes.txt' einfügen, bis für jedes Kennwort, das Sie routinemäßig verwenden, ein Hash angezeigt wird. Dann, nur zum Spaß, geben Sie als letzte Zeile das Wort "Kennwort" ein.
Hier ist es erwähnenswert, dass MD5 kein sehr gutes Format für das Speichern von Passwort-Hashes ist - es ist ziemlich schnell zu berechnen, wodurch rohe Zwangsmaßnahmen praktikabler werden. Da wir destruktive Tests durchführen, ist dies tatsächlich ein Plus für uns. Bei einem echten Passwortleck würden unsere Passwörter mit Scrypt oder einer anderen sicheren Hash-Funktion gehasht, die langsamer zu testen ist. Durch die Verwendung von MD5 können wir im Wesentlichen simulieren, dass wir mehr Rechenleistung und Zeit auf das Problem werfen, als wir tatsächlich zur Verfügung haben.
Stellen Sie als Nächstes sicher, dass die Datei 'hashes.txt' gespeichert wurde, und rufen Sie Windows PowerShell auf. Navigieren Sie zum Hashcat-Ordner (CD… geht eine Ebene höher, ls listet die aktuellen Dateien auf und cd [Dateiname] fügt einen Ordner im aktuellen Verzeichnis ein). Jetzt tippen ./hashcat-cli32.exe -hash-type = 0 -attack-mode = 8 hashes.txt rockyou.txt.
Dieser Befehl sagt im Grunde “Führen Sie die Hashcat-Anwendung aus. Stellen Sie es für MD5-Hashes ein und verwenden Sie a “Prinz-Modus” attack (verwendet eine Vielzahl unterschiedlicher Strategien, um Variationen der Wörter in der Liste zu erzeugen). Versuchen Sie, die Einträge in der Datei 'hashes.txt' zu unterbrechen, und verwenden Sie die Datei 'rockyou.txt' als Wörterbuch.
Drücken Sie die Eingabetaste und akzeptieren Sie die EULA (was im Grunde sagt.) “Ich schwöre, ich werde damit nichts hacken”) und lass es laufen. Der Hash für das Passwort sollte in ein oder zwei Sekunden erscheinen. Danach ist es nur noch eine Frage des Wartens. Auf einer schnellen, modernen CPU werden innerhalb weniger Minuten schwache Passwörter angezeigt. Normale Passwörter werden in ein paar Stunden bis ein oder zwei Tagen angezeigt. Starke Passwörter können sehr lange dauern. Eines meiner älteren Passwörter wurde in weniger als zehn Minuten abgebrochen.
Sie können dies so lange laufen lassen, wie Sie möchten. Ich empfehle zumindest über Nacht oder während der Arbeit auf Ihrem PC. Wenn Sie es 24 Stunden schaffen, ist Ihr Passwort für die meisten Anwendungen wahrscheinlich stark genug - dies ist jedoch keine Garantie. Hacker sind möglicherweise bereit, diese Angriffe für längere Zeit auszuführen oder haben Zugang zu einer besseren Wortliste. Wenn Sie Zweifel bezüglich der Sicherheit Ihres Passworts haben, sollten Sie ein besseres Passwort erhalten.
Mein Passwort war defekt: Was jetzt??
Wahrscheinlich haben einige Ihrer Passwörter nicht gehalten. Wie können Sie also sichere Passwörter generieren, um diese zu ersetzen? Wie sich herausstellt, sind Passphrasen eine wirklich starke Technik (popularisiert durch xkcd). Öffnen Sie das nächstgelegene Buch, blättern Sie zu einer beliebigen Seite und legen Sie den Finger auf eine Seite. Nimm das nächste Substantiv, Verb, Adjektiv oder Adverb und erinnere dich daran. Wenn Sie vier oder fünf haben, schlagen Sie sie zusammen ohne Leerzeichen, Zahlen oder Großbuchstaben zusammen. Verwende nicht “KorrektesBatteriekapsel”. Es ist leider als Passwort beliebt und in vielen Wortlisten enthalten.
Ein Beispiel für ein Passwort, das ich gerade aus einer Science-Fiction-Anthologie auf meinem Couchtisch erstellt habe, ist “leanedsomeartisansharmingdarling” (Verwenden Sie diese auch nicht). Dies ist viel einfacher zu merken als eine beliebige Folge von Buchstaben und Zahlen und ist wahrscheinlich sicherer. Englischsprachige Muttersprachler haben ein Arbeitsvokabular von etwa 20.000 Wörtern. Folglich gibt es für eine Folge von fünf zufällig ausgewählten gemeinsamen Wörtern 20.000 5 oder etwa drei Sechstel Billionen mögliche Kombinationen. Dies ist weit außerhalb der Reichweite eines aktuellen Brute-Force-Angriffs.
Im Gegensatz dazu würde ein zufällig ausgewähltes achtstelliges Passwort in Form von Zeichen synthetisiert, mit etwa 80 Möglichkeiten, einschließlich Großbuchstaben, Kleinbuchstaben, Zahlen, Zeichen und Leerzeichen. 80 ^ 8 ist nur eine Billiarde. Das hört sich immer noch groß an, aber es zu brechen liegt tatsächlich im Bereich der Möglichkeiten. Angesichts von zehn High-End-Desktop-Computern (von denen jeder etwa zehn Millionen Hash pro Sekunde leisten kann), könnte dies in einigen Monaten brachialisiert werden - und die Sicherheit bricht völlig zusammen, wenn sie nicht zufällig ist. Es ist auch viel schwieriger, sich daran zu erinnern.
Eine andere Option ist die Verwendung eines Passwort-Managers, der im Handumdrehen sichere Passwörter für Sie generieren kann, die alle mit einem einzigen Master-Passwort "entsperrt" werden können. Sie müssen sich immer noch ein wirklich gutes Master-Passwort aussuchen (und wenn Sie es vergessen, haben Sie Probleme) - aber wenn Ihre Passwort-Hashes bei einem Website-Verstoß durchgesickert sind, haben Sie eine zusätzliche Sicherheitsebene.
Ständige Wachsamkeit
Gute Passwortsicherheit ist nicht sehr schwer, aber Sie müssen sich des Problems bewusst sein und Maßnahmen ergreifen, um die Sicherheit zu gewährleisten. Diese Art der zerstörenden Prüfung kann ein guter Weckruf sein. Es ist eine Sache zu wissen, intellektuell, dass Ihre Passwörter unsicher sein könnten. Es ist ein weiterer Grund, zu sehen, wie es nach ein paar Minuten aus Hashcat herausspringt.
Wie haben sich Ihre Passwörter bewährt?? Lass es uns in den Kommentaren wissen!
Erfahren Sie mehr über: Hacking, Online-Sicherheit, Passwort.