İlan
Şifreniz güvenli mi? Hepimiz asla ne tür şifreler seçmemeniz gerektiğine dair birçok tavsiye duyduk - ve iddia edilen çeşitli araçlar var şifrenizin çevrimiçi güvenliğini değerlendirin Bu Beş Parola Gücü Aracı ile Parolalarınızı Çatlak Testinden GeçirinHepimiz 'nasıl bir şifre kırırım' sorularının adil bir bölümünü okuduk. Birçoğunun meraklı olmaktan ziyade hain amaçlar için olduğunu söylemek güvenlidir. Parolalar ihlal ediliyor ... Daha fazla oku . Bununla birlikte, bunlar sadece şüphesiz doğru olabilir. Şifrelerinizin güvenliğini gerçekten test etmenin tek yolu onları kırmaya çalışmaktır.
Bugün bunu yapacağız. Size gerçek bilgisayar korsanlarının şifreleri kırmak için kullandıkları bir aracı nasıl kullanacağınızı ve size ait olanları kontrol etmek için nasıl kullanacağınızı göstereceğim. Ve eğer testi geçemezse, size daha güvenli şifreleri nasıl seçeceğinizi göstereceğim. niyet gecikmek.
Hashcat Kurulumu
Kullanacağımız araca Hashcat denir. Resmi olarak, şifre kurtarma 6 Windows için Ücretsiz Şifre Kurtarma Araçları Daha fazla oku
, ama pratikte bu demek gibi BitTorrent Şişirmeyi yendi! Bu Hafif BitTorrent İstemcilerini DeneyinSilahlar yasadışı dosyaları paylaşmaz. İnsanlar yasadışı dosyaları paylaşıyor. Veya, bekleyin, tekrar nasıl gidiyor? Demek istediğim, BitTorrent'in korsanlık potansiyeline dayanarak yok edilmemesi gerektiğidir. Daha fazla oku , telif hakkıyla korunmayan dosyaları indirmeyi amaçlamaktadır. Pratikte, genellikle şifreleri kırmaya çalışan bilgisayar korsanları tarafından kullanılır güvensiz sunuculardan çalındı Ashley Madison Kaçak Yok Büyük Anlaşma? Tekrar düşünSağduyulu çevrimiçi tanışma sitesi Ashley Madison (öncelikle hile eşlerini hedefleyen) saldırıya uğradı. Ancak bu, kullanıcı güvenliğini önemli ölçüde etkileyecek şekilde basında tasvir edilenden çok daha ciddi bir konudur. Daha fazla oku . Bir yan etki olarak, bu şifre güvenliğini test etmenin çok güçlü bir yoludur.Not: Bu eğitim Windows içindir. Linux'takileriniz, nereden başlayacağınız konusunda bir fikir edinmek için aşağıdaki videoyu izleyebilir.
Hashcat'i hashcat.net internet sayfası. İndirme ve indirme klasörünüze çıkartın. Şimdi, araç için bazı yardımcı veriler almamız gerekecek. Temel olarak, aracın başlangıç noktası olarak kullanabileceği büyük bir şifre veritabanı olan bir kelime listesi elde edeceğiz. rockyou.txt veri kümesi. İndirin ve Hashcat klasörüne yapıştırın. "Rockyou.txt" olarak adlandırıldığından emin olun
Şimdi karmaları üretmenin bir yoluna ihtiyacımız olacak. Kullanacağız WinMD5, hangi belirli dosyaları karma hafif bir ücretsiz bir araçtır. İndirin, açın ve Hashcat dizinine bırakın. İki yeni metin dosyası yapacağız: hashes.txt ve password.txt. Her ikisini Hashcat dizinine koyun.
Bu kadar! Sen bittin.
Bir Halkın Hacker Savaşları Tarihi
Bu uygulamayı gerçekten kullanmadan önce, şifrelerin nasıl kırıldığı ve bu noktaya nasıl geldiğimiz hakkında biraz konuşalım.
Bilgisayar biliminin puslu tarihinde, web sitelerinin kullanıcı şifrelerini düz metinde saklaması standart bir uygulamadır. Bu mantıklı geliyor. Kullanıcının doğru şifreyi gönderdiğini doğrulamanız gerekir. Bunu yapmanın bariz bir yolu, şifrelerin bir kopyasını bir yerde küçük bir dosyada tutmak ve kullanıcının gönderdiği şifreyi listede kontrol etmektir. Kolay.
Bu büyük bir felaketti. Bilgisayar korsanları sunucuya bazı sapkın taktiklerle (örneğin kibarca sormak), şifre listesini çalın, giriş yapın ve herkesin parasını çalın. Güvenlik araştırmacıları kendilerini bu felaketin sigara enkazından aldıkça, farklı bir şeyler yapmamız gerektiği açıktı. Çözelti karma olmuştur.
Tanıdık olmayanlar için, Özet fonksiyonu Tüm Bu MD5 Hash Şeyler Aslında Ne Demektir [Teknoloji Açıklaması]İşte MD5, karma ve bilgisayar ve kriptografiye küçük bir genel bakış. Daha fazla oku bir parça bilgi alan ve bunu matematiksel olarak sabit uzunluklu anlamsız bir parçaya karıştıran bir kod parçasıdır. Buna verileri “karma” denir. Onlar hakkında harika olan şey, sadece bir yöne gitmeleri. Bir parça bilgi almak ve benzersiz karmasını bulmak çok kolaydır. Bir karma almak ve onu oluşturan bir bilgi bulmak çok zordur. Aslında, rastgele bir şifre kullanırsanız, bunu yapmak için mümkün olan her kombinasyonu denemeniz gerekir, bu da az ya da çok imkansızdır.
Evde takip edenler, karmaların şifre uygulamaları için gerçekten yararlı özelliklere sahip olduğunu fark edebilir. Şimdi, şifreyi saklamak yerine, şifrelerin karmasını saklayabilirsiniz. Bir parolayı doğrulamak istediğinizde, parolayı karma hale getirir, orijinali siler ve karma listesi ile karşılaştırırsınız. Karma işlevlerinin tümü aynı sonuçları verir, böylece yine de doğru şifreleri gönderdiklerini doğrulayabilirsiniz. En önemlisi, gerçek düz metin parolaları hiçbir zaman sunucuda saklanmaz. Bu nedenle, bilgisayar korsanları sunucuyu ihlal ettiklerinde herhangi bir parola çalamazlar - sadece işe yaramaz karmalar. Bu gayet iyi çalışıyor.
Bilgisayar korsanlarının buna cevabı çok fazla zaman ve enerji harcamaktı karmaları tersine çevirmenin gerçekten akıllıca yolları Ophcrack - Neredeyse Tüm Windows Parolalarını Kırmak için Bir Parola Hack AracıBir kişinin bir Windows parolasını hacklemek için herhangi bir sayıda parola hack aracı kullanmak istemesinin birçok farklı nedeni vardır. Daha fazla oku .
Hashcat Nasıl Çalışır?
Bunun için çeşitli stratejiler kullanabiliriz. En sağlamlarından biri Hashcat'in kullandığı, kullanıcıların çok yaratıcı olmadığını ve aynı türden şifreleri seçme eğiliminde olduğunu fark etmektir.
Örneğin, çoğu şifre bir veya iki İngilizce kelimeden, birkaç sayıdan ve belki de bazı “leet-speak” harf yerine veya rastgele büyük harflerden oluşur. Seçilen kelimelerin bazıları diğerlerinden daha olasıdır: "şifre", hizmetin adı, kullanıcı adınız ve "merhaba" ifadelerinin tümü popülerdir. Ditto popüler evcil hayvan isimleri ve bu yıl.
Bunu bilerek, farklı kullanıcıların seçtikleri konusunda çok makul tahminler üretmeye başlayabilirsiniz, bu da (sonunda) doğru tahmin etmenize, karmayı kırmanıza ve giriş bilgilerine erişmenize izin vermelidir kimlik bilgileri. Bu umutsuz bir strateji gibi geliyor, ancak bilgisayarların gülünç derecede hızlı olduğunu unutmayın. Modern bir bilgisayar saniyede milyonlarca tahminde bulunabilir.
Bugün yapacağımız şey bu. Şifrelerinizin kötü niyetli bir bilgisayar korsanının elinde bir karma listesinde olduğunu ve bilgisayar korsanlarının bunlarda kullandıkları karma kırma aracını çalıştırdığını iddia edeceğiz. Bunu çevrimiçi güvenliğiniz için bir yangın tatbikatı olarak düşünün. Bakalım nasıl olacak!
Hashcat Nasıl Kullanılır
İlk olarak, karmaları üretmemiz gerekiyor. WinMD5'i ve ‘password.txt’ dosyanızı (not defterinde) açın. Şifrelerinizden birini girin (yalnızca bir tane). Dosya 'yı kaydet. WinMD5 kullanarak açın. Dosyanın karmasını içeren küçük bir kutu göreceksiniz. Bunu "hashes.txt" dosyanıza kopyalayın ve kaydedin. Düzenli olarak kullandığınız her şifre için bir karma elde edene kadar her dosyayı "hashes.txt" dosyasındaki yeni bir satıra ekleyerek bunu tekrarlayın. Sonra, sadece eğlence için, son satır olarak "şifre" kelimesinin karmasını girin.
Burada, MD5'in şifre karmaları depolamak için çok iyi bir format olmadığını belirtmek gerekir - hesaplamak oldukça hızlıdır ve kaba zorlamayı daha uygulanabilir hale getirir. Yıkıcı testler yaptığımız için, bu aslında bizim için bir artı. Gerçek bir şifre sızıntısında, şifrelerimiz Scrypt veya test edilmesi daha yavaş olan başka bir güvenli sağlama işleviyle özetlenir. MD5 kullanarak, aslında mevcut olandan çok daha fazla işlem gücü ve zaman atmayı simüle edebiliriz.
Ardından, "hashes.txt" dosyasının kaydedildiğinden emin olun ve Windows PowerShell'i getirin. Hashcat klasörüne gidin (cd .. bir seviye yükselir, ls geçerli dosyaları listeler ve cd [dosyaadı] geçerli dizine bir klasör girer). Şimdi yazın ./hashcat-cli32.exe –hash-type = 0 – saldırı modu = 8 hashes.txt rockyou.txt.
Bu komut temelde “Hashcat uygulamasını çalıştırın. MD5 karmaları üzerinde çalışacak şekilde ayarlayın ve "prens modu" saldırısı kullanın (listedeki kelimeler üzerinde varyasyonlar oluşturmak için çeşitli stratejiler kullanır). "Hashes.txt" dosyasındaki girişleri kırmayı deneyin ve "rockyou.txt" dosyasını sözlük olarak kullanın.
Enter'a basın ve EULA'yı kabul edin (temelde “Ben pembemsi bir şeyle uğraşmayacağım yemin ederim” der) ve sonra çalışmasına izin verin. Şifre karması bir veya iki saniye içinde açılır. Bundan sonra, bu sadece bir bekleme meselesi. Zayıf parolalar hızlı ve modern bir CPU'da dakikalar içinde ortaya çıkacaktır. Normal şifreler birkaç saat ila bir veya iki gün içinde açılır. Güçlü parolalar çok uzun zaman alabilir. Eski şifrelerimden biri on dakikadan kısa bir süre içinde bozuldu.
Bunu istediğiniz kadar uzun süre bırakabilirsiniz. En azından bir gecede veya işteyken PC'nizde öneriyorum. 24 saat yaparsanız, şifreniz çoğu uygulama için muhtemelen yeterince güçlüdür - bu bir garanti değildir. Bilgisayar korsanları bu saldırıları uzun süre yürütmeye istekli olabilir veya daha iyi bir kelime listesine erişebilir. Şifre güvenliğiniz hakkında şüpheniz varsa, daha iyi bir şifre alın.
Şifrem Kırıldı: Şimdi Ne?
Büyük olasılıkla, bazı şifreleriniz geçerli değildi. Peki bunları değiştirmek için nasıl güçlü şifreler oluşturabilirsiniz? Sonuç olarak, gerçekten güçlü bir teknik (xkcd tarafından popüler) ifadelerdir. En yakın kitabı açın, rastgele bir sayfaya çevirin ve parmağınızı bir sayfaya koyun. En yakın isim, fiil, sıfat veya zarfı alın ve hatırlayın. Dört ya da beşiniz olduğunda, boşluk, sayı veya büyük harf kullanmadan bunları birbirine bağlayın. “Doğru akü dizisi” KULLANMAYIN. Ne yazık ki bir şifre olarak popüler hale geliyor ve birçok kelime listesine dahil ediliyor.
Kahve masamın üzerinde oturan bir bilim kurgu antolojisinden yeni oluşturduğum örnek bir şifre “yalınseveartisansharmingdarling” (bunu da kullanmayın). Bunu hatırlamak, rastgele bir harf ve rakam dizisinden çok daha kolaydır ve muhtemelen daha güvenlidir. Anadili İngilizce olanların yaklaşık 20.000 kelimelik bir kelime dağarcığı vardır. Sonuç olarak, rastgele seçilen beş ortak kelimeden oluşan bir dizi için 20.000 ^ 5 veya yaklaşık üç sekstilyon olası kombinasyon vardır. Bu, mevcut herhangi bir kaba kuvvet saldırısının kavranmasının çok ötesindedir.
Buna karşılık, rastgele seçilen sekiz karakterlik bir şifre, büyük harf, küçük harf, sayı, karakter ve boşluklar da dahil olmak üzere yaklaşık 80 olasılıkla, karakterler açısından sentezlenir. 80 ^ 8 sadece bir katrilyon. Bu hala kulağa büyük geliyor, ama onu kırmak aslında olasılık alanında. On yüksek kaliteli masaüstü bilgisayar (her biri saniyede yaklaşık on milyon karma yapabilir) göz önüne alındığında, birkaç ay içinde acımasızca zorlanabilir - ve güvenlik aslında değilse tamamen parçalanır rasgele. Hatırlamak da çok daha zor.
Başka bir seçenek, anında sizin için güvenli şifreler oluşturabilen ve hepsinin tek bir ana şifre kullanılarak 'kilidi' açılabilen bir şifre yöneticisi kullanmaktır. Yine de gerçekten iyi bir ana şifre seçmelisiniz (ve unutursanız, başınız belada demektir) - ancak şifre karmalarınız bir web sitesi ihlalinde sızdırılmışsa, ekstra bir güvenlik katmanınız vardır.
Sürekli tetikte olma
İyi şifre güvenliği çok zor değildir, ancak sorunun farkında olmanızı ve güvende olmak için önlem almanızı gerektirir. Bu tür yıkıcı testler iyi bir uyandırma çağrısı olabilir. Entelektüel olarak şifrelerinizin güvensiz olabileceğini bilmek bir şeydir. Birkaç dakika sonra Hashcat'ten çıktığını görmek başka bir şey.
Şifreleriniz nasıl korundu? Yorumlarda bize bildirin!
Güneybatı'da yaşayan bir yazar ve gazeteci olan Andre, 50 dereceye kadar işlevsel kalmayı garanti ediyor ve on iki feet derinliğe kadar su geçirmez.