Ist Ihr Passwort sicher? Wir haben alle eine Menge Ratschläge darüber gehört, welche Arten von Passwörtern Sie niemals wählen sollten - und es gibt verschiedene Tools, die behaupten, die Sicherheit Ihres Passworts online zu bewerten. Setzen Sie Ihre Passwörter durch den Crack-Test mit diesen fünf Passwort-Stärken-Tools Setzen Sie Ihre Passwörter Durch den Crack-Test mit diesen fünf Password Strength Tools Alle von uns haben einen fairen Anteil von "Wie knacke ich ein Passwort" Fragen gelesen. Es ist sicher zu sagen, dass die meisten von ihnen für schändliche Zwecke und nicht für wissbegierige Zwecke gedacht sind. Passwörter verletzen ... Mehr lesen. Diese können jedoch nur zweifelhaft genau sein. Die einzige Möglichkeit, die Sicherheit Ihrer Kennwörter wirklich zu testen, besteht darin, sie zu brechen.
Heute werden wir genau das tun. Ich werde Ihnen zeigen, wie Sie ein Tool verwenden, mit dem echte Hacker Passwörter knacken, und Ihnen zeigen, wie Sie es verwenden können, um Ihr Passwort zu überprüfen. Und wenn es den Test nicht besteht, zeige ich Ihnen, wie Sie sicherere Passwörter auswählen können, die halten.
Einrichten von Hashcat
Das Tool, das wir verwenden werden, heißt Hashcat. Offiziell ist es für die Passwort-Wiederherstellung gedacht. 6 Kostenlose Passwort Recovery Tools für Windows 6 Kostenlose Passwort Recovery Tools für Windows Lesen Sie mehr, aber in der Praxis ist dies ein bisschen wie BitTorrent Beat the Bloat zu sagen! Probieren Sie diese Lightweight BitTorrent-Clients aus! Probieren Sie diese Lightweight BitTorrent Clients Guns teilen keine illegalen Dateien. Menschen teilen illegale Dateien. Oder, warte, wie geht es wieder? Was ich damit sagen möchte, ist, dass BitTorrent nicht aufgrund seines Pirateriepotenzials dissen sollte. Read More ist zum Herunterladen nicht urheberrechtlich geschützter Dateien gedacht. In der Praxis wird es oft von Hackern verwendet, die versuchen, die von unsicheren Servern gestohlenen Passwörter zu durchbrechen. Ashley Madison Leak No Big Deal? Think Again Ashley Madison Leak Keine große Sache? Think Again Discreet Online-Dating-Website Ashley Madison (vor allem auf betrügerische Ehepartner gerichtet) wurde gehackt. Dies ist jedoch ein viel ernsthafteres Problem, als in der Presse dargestellt wurde, mit erheblichen Auswirkungen auf die Benutzersicherheit. Weiterlesen . Als Nebeneffekt ist dies eine sehr leistungsfähige Möglichkeit, die Passwortsicherheit zu testen.
Hinweis: Dieses Tutorial ist für Windows gedacht. Diejenigen unter Linux können sich das Video unten ansehen, um zu erfahren, wo Sie anfangen können.
Sie können Hashcat von der hashcat.net Webseite erhalten. Downloaden und entpacken Sie es in Ihren Download-Ordner. Als nächstes werden wir einige zusätzliche Daten für das Tool benötigen. Wir werden eine Wortliste erstellen, die im Grunde genommen eine riesige Datenbank von Passwörtern ist, die das Tool als Ausgangspunkt verwenden kann, insbesondere den Datensatz "rockyou.txt". Laden Sie es herunter und stecken Sie es in den Hashcat-Ordner. Stellen Sie sicher, dass es "rockyou.txt" heißt
Jetzt werden wir einen Weg brauchen, um die Hashes zu generieren. Wir werden WinMD5 verwenden, ein leichtgewichtiges Freeware-Tool, das bestimmte Dateien hastet. Laden Sie es herunter, entpacken Sie es und legen Sie es im Hashcat-Verzeichnis ab. Wir werden zwei neue Textdateien erstellen: hashes.txt und password.txt. Legen Sie beide in das Hashcat-Verzeichnis.
Das ist es! Sie sind fertig.
Eine Volksgeschichte der Hackerkriege
Bevor wir diese Anwendung tatsächlich verwenden, wollen wir ein wenig darüber sprechen, wie Passwörter tatsächlich kaputt gehen und wie wir zu diesem Punkt gekommen sind.
In der nebligen Geschichte der Informatik war es üblich, dass Webseiten Passwörter im Klartext speichern. Dies scheint so, als ob es Sinn macht. Sie müssen sicherstellen, dass der Benutzer das richtige Kennwort gesendet hat. Eine naheliegende Möglichkeit ist, eine Kopie der Passwörter in einer kleinen Datei zu speichern und das vom Benutzer übermittelte Passwort anhand der Liste zu überprüfen. Einfach.
Das war eine große Katastrophe. Hacker würden über eine hinterhältige Taktik Zugang zu dem Server bekommen (wie höflich fragen), die Passwortliste stehlen, sich einloggen und alles Geld stehlen. Als Sicherheitsforscher sich aus den rauchenden Trümmern dieser Katastrophe lösten, war klar, dass wir etwas anderes tun mussten. Die Lösung war Hashing.
Für diejenigen, die nicht vertraut sind, eine Hash-Funktion Was bedeutet dies alles MD5 Hash Was eigentlich bedeutet [Technologie erklärt] Hier ist eine vollständige heruntergekommen von MD5, Hashing und einen kleinen Überblick über Computer und Kryptografie . Read More ist ein Stück Code, das ein Stück Information entnimmt und mathematisch zu einem Stück Kauderwelsch zusammenbaut. Dies wird als "Hashing" der Daten bezeichnet. Was ist cool an ihnen ist, dass sie nur in eine Richtung gehen. Es ist sehr einfach, ein Stück Information zu nehmen und seinen einzigartigen Hash herauszufinden. Es ist sehr schwer, einen Hash zu nehmen und eine Information zu finden, die ihn erzeugt. In der Tat, wenn Sie ein zufälliges Passwort verwenden, müssen Sie jede mögliche Kombination versuchen, um es zu tun, was mehr oder weniger unmöglich ist.
Diejenigen von Ihnen, die zu Hause folgen, merken vielleicht, dass Hashes einige wirklich nützliche Eigenschaften für Passwort-Anwendungen haben. Anstatt das Passwort zu speichern, können Sie nun die Hashes der Passwörter speichern. Wenn Sie ein Kennwort verifizieren möchten, hashen Sie es, löschen Sie das Original und überprüfen Sie es anhand der Hash-Liste. Hash-Funktionen liefern alle die gleichen Ergebnisse, sodass Sie immer noch überprüfen können, ob sie die richtigen Passwörter übermittelt haben. Entscheidend ist, dass die eigentlichen Klartextpasswörter niemals auf dem Server gespeichert werden. Wenn also Hacker den Server durchbrechen, können sie keine Passwörter stehlen - nur nutzlose Hashes. Das funktioniert einigermaßen gut.
Die Hacker Antwort darauf war zu verbringen viel Zeit und Energie mit wirklich schlauen Möglichkeiten zu Reverse-Hashes Ophcrack - ein Passwort Hack-Tool zum Knacken fast jedes Windows-Passwort Ophcrack - ein Passwort-Hack-Tool zum Knacken fast jedes Windows-Passwort Es gibt ein Viele verschiedene Gründe, warum man eine beliebige Anzahl von Passwort-Hack-Tools verwenden sollte, um ein Windows-Passwort zu hacken. Weiterlesen .
Wie Hashcat funktioniert
Wir können dafür verschiedene Strategien anwenden. Eine der robustesten ist die, die Hashcat verwendet, um zu bemerken, dass Benutzer nicht sehr einfallsreich sind und dazu neigen, die gleichen Arten von Passwörtern auszuwählen.
Zum Beispiel bestehen die meisten Passwörter aus einem oder zwei englischen Wörtern, ein paar Zahlen und vielleicht einigen "leet-speak" Buchstabenersetzungen oder zufälliger Großschreibung. Von den ausgewählten Wörtern sind einige wahrscheinlicher als andere: "Passwort", der Name des Dienstes, Ihr Benutzername und "Hallo" sind alle beliebt. Dito populäre Kosenamen und das aktuelle Jahr.
Wenn Sie dies wissen, können Sie sehr plausible Vermutungen darüber anstellen, was verschiedene Benutzer ausgewählt haben könnten, was Ihnen (schließlich) erlauben sollte, richtig zu raten, den Hash zu brechen und Zugriff auf ihre Anmeldedaten zu erhalten. Das klingt nach einer hoffnungslosen Strategie, aber denken Sie daran, dass Computer lächerlich schnell sind. Ein moderner Computer kann Millionen von Raten pro Sekunde ausprobieren.
Das werden wir heute machen. Wir geben vor, dass sich Ihre Passwörter in den Händen eines böswilligen Hackers befinden, und führen das gleiche Hash-Cracking-Tool aus, mit dem Hacker sie verwenden. Betrachten Sie es als eine Feuerwehrübung für Ihre Online-Sicherheit. Mal sehen wie es geht!
Wie man Hashcat benutzt
Zuerst müssen wir die Hashes generieren. Öffnen Sie WinMD5 und Ihre 'password.txt' Datei (im Editor). Gib eines deiner Passwörter ein (nur eines). Speicher die Datei. Öffnen Sie es mit WinMD5. Sie sehen ein kleines Kästchen mit dem Hash der Datei. Kopieren Sie das in Ihre 'hashes.txt' Datei und speichern Sie es. Wiederholen Sie dies, indem Sie jede Datei zu einer neuen Zeile in der Datei "hashes.txt" hinzufügen, bis Sie für jedes routinemäßig verwendete Passwort einen Hashwert haben. Dann, nur zum Spaß, geben Sie den Hash für das Wort "Passwort" als letzte Zeile ein.
Es ist erwähnenswert, dass MD5 kein sehr gutes Format zum Speichern von Passwort-Hashes ist - es ist ziemlich schnell zu berechnen, was Brute-Forcing praktikabler macht. Da wir destruktive Tests durchführen, ist dies ein Plus für uns. Bei einem echten Passwortverlust würden unsere Passwörter mit Scrypt oder einer anderen sicheren Hash-Funktion, die langsamer zu testen ist, gehashed werden. Durch die Verwendung von MD5 können wir wesentlich mehr Rechenleistung und Zeit für das Problem erzeugen, als wir tatsächlich zur Verfügung haben.
Stellen Sie als Nächstes sicher, dass die Datei "hashes.txt" gespeichert wurde, und rufen Sie Windows PowerShell auf. Navigieren Sie zum Hashcat-Ordner ( CD .. geht eine Ebene höher, ls listet die aktuellen Dateien auf und cd [Dateiname] gibt einen Ordner im aktuellen Verzeichnis ein). Geben Sie jetzt ./hashcat-cli32.exe -hash-type = 0 -attack-mode = 8 hashes.txt rockyou.txt ein .
Dieser Befehl sagt im Grunde "Ausführen der Hashcat-Anwendung. Stellen Sie es so ein, dass es mit MD5-Hashes arbeitet, und verwenden Sie einen "Prince Mode" -Angriff (bei dem verschiedene Strategien zum Erstellen von Variationen der Wörter in der Liste verwendet werden). Versuchen Sie, Einträge in der Datei 'hashes.txt' zu brechen, und verwenden Sie die Datei 'rockyou.txt' als Wörterbuch.
Drücken Sie Enter, und akzeptieren Sie die EULA (die im Grunde sagt "Ich Pinky schwöre ich werde nichts damit hacken"), und dann lassen Sie es laufen. Der Hash für das Passwort sollte in ein oder zwei Sekunden auftauchen. Danach ist es nur eine Frage des Wartens. Schwache Passwörter werden innerhalb weniger Minuten auf einer schnellen, modernen CPU auftauchen. Normale Passwörter werden in ein paar Stunden auf ein oder zwei Tage angezeigt. Starke Passwörter können sehr lange dauern. Eines meiner älteren Passwörter wurde in weniger als zehn Minuten durchgebrochen.
Sie können das so lange laufen lassen, wie Sie möchten. Ich schlage vor, mindestens über Nacht, oder auf Ihrem PC, während Sie bei der Arbeit sind. Wenn Sie es 24 Stunden machen, ist Ihr Passwort wahrscheinlich stark genug für die meisten Anwendungen - obwohl dies keine Garantie ist. Hacker sind möglicherweise bereit, diese Angriffe für eine lange Zeit auszuführen, oder haben Zugang zu einer besseren Wortliste. Wenn Sie Zweifel an der Sicherheit Ihres Passworts haben, holen Sie sich ein besseres.
Mein Passwort war kaputt: Was nun?
Mehr als wahrscheinlich haben einige Ihrer Passwörter nicht gehalten. Wie können Sie starke Kennwörter generieren, um sie zu ersetzen? Wie sich herausstellt, ist eine wirklich starke Technik (popularisiert durch xkcd) Pass-Phrasen. Öffnen Sie das nächste Buch, blättern Sie zu einer zufälligen Seite und legen Sie Ihren Finger auf eine Seite. Nimm das nächste Substantiv, Verb, Adjektiv oder Adverb und erinnere dich daran. Wenn Sie vier oder fünf haben, mischen Sie sie zusammen, ohne Leerzeichen, Zahlen oder Groß- / Kleinschreibung. Verwenden Sie NICHT "correcthorsebatterystaple". Es ist leider als Passwort populär geworden und ist in vielen Wortlisten enthalten.
Ein Beispiel für ein Passwort, das ich gerade aus einer Science-Fiction-Anthologie, die auf meinem Couchtisch saß, erstellt habe, ist "lehntesartisierendes Arschloch" (verwende dieses auch nicht). Dies ist viel einfacher zu merken als eine willkürliche Folge von Buchstaben und Zahlen und ist wahrscheinlich sicherer. Englische Muttersprachler haben ein Arbeitsvokabular von etwa 20.000 Wörtern. Als Ergebnis ergeben sich für eine Folge von fünf zufällig ausgewählten gemeinsamen Wörtern 20.000 ^ 5 oder etwa drei Sexmillionen mögliche Kombinationen. Dies ist weit jenseits der Reichweite eines aktuellen Brute-Force-Angriffs.
Im Gegensatz dazu würde ein zufällig ausgewähltes achtstelliges Passwort in Form von Zeichen mit etwa 80 Möglichkeiten, einschließlich Großbuchstaben, Kleinbuchstaben, Zahlen, Zeichen und Leerzeichen, synthetisiert. 80 ^ 8 ist nur eine Billiarde. Das klingt immer noch groß, aber es zu brechen liegt tatsächlich im Bereich der Möglichkeiten. Bei zehn High-End-Desktop-Computern (von denen jeder etwa zehn Millionen Hashes pro Sekunde ausführen kann) könnte das in ein paar Monaten brutal sein - und die Sicherheit fällt völlig auseinander, wenn es nicht zufällig ist. Es ist auch viel schwerer zu merken.
Eine weitere Möglichkeit ist die Verwendung eines Passwortmanagers, der sichere Kennwörter für Sie im laufenden Betrieb generieren kann, die alle mit einem einzigen Masterkennwort "entsperrt" werden können. Sie müssen sich immer noch ein wirklich gutes Master-Passwort aussuchen (und wenn Sie es vergessen haben, sind Sie in Schwierigkeiten) - aber wenn Ihre Passwort-Hashes in einer Website-Lücke durchsickern, haben Sie eine starke zusätzliche Sicherheitsebene.
Ständige Wachsamkeit
Gute Passwortsicherheit ist nicht sehr schwer, aber Sie müssen sich des Problems bewusst sein und Maßnahmen ergreifen, um sicher zu bleiben. Diese Art des zerstörenden Tests kann ein guter Weckruf sein. Es ist eine Sache, intellektuell zu wissen, dass Ihre Passwörter unsicher sein könnten. Es ist ein anderer, es nach ein paar Minuten tatsächlich aus Hashcat herausspringen zu sehen.
Wie haben Ihre Passwörter gehalten? Lass es uns in den Kommentaren wissen!