Propaganda

Sua senha é segura? Todos ouvimos muitos conselhos sobre que tipo de senhas você nunca deve escolher - e existem várias ferramentas que afirmam avalie a segurança de sua senha online Coloque suas senhas no teste de crack com essas cinco ferramentas de força de senhasTodos nós lemos uma boa parte das perguntas "como faço para quebrar uma senha". É seguro dizer que a maioria deles é para fins nefastos, e não para fins inquisitivos. Quebrando senhas ... consulte Mais informação . No entanto, estes podem ser duvidosamente precisos. A única maneira de realmente testar a segurança de suas senhas é tentar quebrá-las.

Hoje, vamos fazer exatamente isso. Vou mostrar como usar uma ferramenta que hackers reais usam para quebrar senhas e mostrar como usá-la para verificar a sua. E, se falhar no teste, mostrarei como escolher senhas mais seguras que vai aguarde.

Configurando o Hashcat

A ferramenta que usaremos se chama Hashcat. Oficialmente, é destinado a recuperação de senha 6 ferramentas gratuitas de recuperação de senha para Windows consulte Mais informação

, mas na prática isso é um pouco como dizer BitTorrent Bata o Bloat! Experimente estes clientes BitTorrent levesAs armas não compartilham arquivos ilegais. As pessoas compartilham arquivos ilegais. Ou, espere, como vai de novo? O que quero dizer é que o BitTorrent não deve ser dissediado com base em seu potencial de pirataria. consulte Mais informação destina-se a baixar arquivos sem direitos autorais. Na prática, é frequentemente usado por hackers que tentam quebrar senhas roubado de servidores inseguros Ashley Madison vazar não é grande coisa? Pense de novoO site discreto de namoro online Ashley Madison (direcionado principalmente para cônjuges trapaceiros) foi invadido. No entanto, esse é um problema muito mais sério do que o descrito na imprensa, com implicações consideráveis ​​para a segurança do usuário. consulte Mais informação . Como efeito colateral, isso faz com que seja uma maneira muito poderosa de testar a segurança da senha.

Nota: este tutorial é para Windows. Aqueles de vocês no Linux podem conferir o vídeo abaixo para ter uma idéia de por onde começar.

Você pode obter o Hashcat no hashcat.net página da web. Baixe e descompacte-o na sua pasta de downloads. Em seguida, precisaremos obter alguns dados auxiliares para a ferramenta. Vamos adquirir uma lista de palavras, que é basicamente um enorme banco de dados de senhas que a ferramenta pode usar como ponto de partida, especificamente o rockyou.txt conjunto de dados. Faça o download e cole-o na pasta Hashcat. Certifique-se de que ele seja chamado de "rockyou.txt"

Agora vamos precisar de uma maneira de gerar os hashes. Nós estaremos usando WinMD5, que é uma ferramenta freeware leve que mistura arquivos específicos. Faça o download, descompacte-o e solte-o no diretório Hashcat. Vamos criar dois novos arquivos de texto: hashes.txt e password.txt. Coloque ambos no diretório Hashcat.

É isso aí! Você Terminou.

A história de um povo das guerras hackers

Antes de realmente usarmos esse aplicativo, vamos falar um pouco sobre como as senhas realmente são quebradas e como chegamos a esse ponto.

Já na história nebulosa da ciência da computação, era prática comum os sites armazenarem as senhas dos usuários em texto simples. Parece que isso faz sentido. Você precisa verificar se o usuário enviou a senha correta. Uma maneira óbvia de fazer isso é manter uma cópia das senhas à mão em um pequeno arquivo em algum lugar e verificar a senha enviada pelo usuário na lista. Fácil.

Este foi um grande desastre. Os hackers teriam acesso ao servidor por meio de alguma tática desonesta (como perguntando educadamente), roube a lista de senhas, faça login e roube o dinheiro de todos. Quando os pesquisadores de segurança se retiraram dos destroços do desastre, ficou claro que precisávamos fazer algo diferente. A solução estava usando hash.

Para quem não conhece, um função hash O que todo esse material de hash MD5 realmente significa [tecnologia explicada]Aqui está um resumo completo do MD5, hash e uma pequena visão geral de computadores e criptografia. consulte Mais informação é um pedaço de código que pega um pedaço de informação e o embaralha matematicamente em um pedaço de texto de tamanho fixo. Isso é chamado de 'hash' dos dados. O que é legal sobre eles é que eles só seguem uma direção. É muito fácil pegar uma informação e descobrir seu hash exclusivo. É muito difícil pegar um hash e encontrar um pedaço de informação que o gera. De fato, se você usar uma senha aleatória, precisará tentar todas as combinações possíveis para fazê-lo, o que é mais ou menos impossível.

Os que estão acompanhando em casa podem perceber que os hashes têm algumas propriedades realmente úteis para aplicativos de senha. Agora, em vez de armazenar a senha, você pode armazenar os hashes das senhas. Quando você quiser verificar uma senha, faça o hash, exclua o original e verifique-o na lista de hashes. Todas as funções de hash fornecem os mesmos resultados, para que você ainda possa verificar se elas enviaram as senhas corretas. Fundamentalmente, as senhas de texto simples reais nunca são armazenadas no servidor. Portanto, quando os hackers violam o servidor, eles não podem roubar senhas - apenas hashes inúteis. Isso funciona razoavelmente bem.

A resposta dos hackers a isso foi gastar muito tempo e energia gerando maneiras realmente inteligentes de reverter hashes Ophcrack - uma ferramenta de hacker de senhas para quebrar quase qualquer senha do WindowsHá muitas razões diferentes pelas quais alguém gostaria de usar qualquer número de ferramentas de hackers para invadir uma senha do Windows. consulte Mais informação .

Como o Hashcat funciona

Podemos usar várias estratégias para isso. Uma das mais robustas é a que o Hashcat usa, que é notar que os usuários não são muito imaginativos e tendem a escolher o mesmo tipo de senha.

Por exemplo, a maioria das senhas consiste em uma ou duas palavras em inglês, alguns números e talvez algumas substituições de letras de “língua falada” ou letras maiúsculas aleatórias. Das palavras escolhidas, algumas são mais prováveis ​​que outras: 'senha', o nome do serviço, seu nome de usuário e 'olá' são populares. Ditto nomes populares de animais de estimação e o ano atual.

Sabendo disso, você pode começar a gerar suposições muito plausíveis sobre o que diferentes usuários podem ter escolhido, que deve (eventualmente) permitir que você adivinhe corretamente, quebre o hash e tenha acesso ao login deles credenciais. Isso soa como uma estratégia desesperada, mas lembre-se de que os computadores são ridiculamente rápidos. Um computador moderno pode tentar milhões de palpites por segundo.

É isso que faremos hoje. Estaremos fingindo que suas senhas estão em uma lista de hash nas mãos de um hacker mal-intencionado e executando a mesma ferramenta de quebra de hash que os hackers usam nelas. Pense nisso como uma broca de incêndio para sua segurança online. Vamos ver como acontece!

Como usar o Hashcat

Primeiro, precisamos gerar os hashes. Abra o WinMD5 e seu arquivo 'password.txt' (no bloco de notas). Digite uma de suas senhas (apenas uma). Salve o arquivo. Abra-o usando o WinMD5. Você verá uma pequena caixa contendo o hash do arquivo. Copie isso para o seu arquivo 'hashes.txt' e salve-o. Repita isso, adicionando cada arquivo a uma nova linha no arquivo 'hashes.txt', até obter um hash para cada senha que você usa rotineiramente. Então, apenas por diversão, insira o hash da palavra "senha" como a última linha.

hashes

Vale a pena notar aqui que o MD5 não é um formato muito bom para armazenar hashes de senhas - é muito rápido de calcular, tornando a força bruta mais viável. Como estamos fazendo testes destrutivos, isso é realmente uma vantagem para nós. Em um vazamento de senha real, nossas senhas seriam hash com Scrypt ou alguma outra função segura de hash, mais lenta para testar. Ao usar o MD5, podemos simular, essencialmente, o lançamento de muito mais poder de processamento e tempo no problema do que realmente temos disponível.

WinMD5Running

Em seguida, verifique se o arquivo 'hashes.txt' foi salvo e abra o Windows PowerShell. Navegue para a pasta Hashcat (cd .. sobe um nível, ls lista os arquivos atuais e cd [nome do arquivo] entra em uma pasta no diretório atual). Agora digite ./hashcat-cli32.exe –hash-type = 0 –attack-mode = 8 hashes.txt rockyou.txt.

Esse comando basicamente diz “Execute o aplicativo Hashcat. Configure-o para trabalhar com hashes MD5 e use um ataque do "modo príncipe" (que usa uma variedade de estratégias diferentes para criar variações nas palavras da lista). Tente quebrar as entradas no arquivo 'hashes.txt' e use o arquivo 'rockyou.txt' como um dicionário.

Pressione Enter e aceite o EULA (que basicamente diz: "Eu juro que não vou invadir nada com isso") e, em seguida, deixe-o funcionar. O hash da senha deve aparecer em um ou dois segundos. Depois disso, é apenas uma questão de esperar. Senhas fracas aparecerão em questão de minutos em uma CPU rápida e moderna. As senhas normais aparecerão em algumas horas a um ou dois dias. Senhas fortes podem levar muito tempo. Uma das minhas senhas mais antigas foi quebrada em menos de dez minutos.

hashcatrunning

Você pode deixar isso funcionando pelo tempo que quiser. Sugiro pelo menos durante a noite ou no seu PC enquanto você estiver trabalhando. Se você passar 24 horas, sua senha provavelmente será forte o suficiente para a maioria dos aplicativos - embora isso não seja uma garantia. Os hackers podem estar dispostos a executar esses ataques por um longo tempo ou ter acesso a uma lista de palavras melhor. Em caso de dúvida sobre a segurança da senha, obtenha uma melhor.

Minha senha foi quebrada: e agora?

Muito provavelmente, algumas de suas senhas não se sustentaram. Então, como você pode gerar senhas fortes para substituí-las? Como se vê, uma técnica realmente forte (popularizado por xkcd) são senhas. Abra o livro mais próximo, vire para uma página aleatória e coloque o dedo em uma página. Pegue o substantivo, verbo, adjetivo ou advérbio mais próximo e lembre-se dele. Quando você tiver quatro ou cinco, misture-os sem espaços, números ou letras maiúsculas. NÃO use o "correto modo de bateria do sistema". Infelizmente, tornou-se popular como senha e está incluído em muitas listas de palavras.

Um exemplo de senha que eu acabei de gerar a partir de uma antologia de ficção científica que estava sentada na minha mesa de café é "inclinar-se para ouvir um pouco de amor" (não use essa também). É muito mais fácil lembrar do que uma sequência arbitrária de letras e números e provavelmente é mais seguro. Os falantes nativos de inglês têm um vocabulário de trabalho de cerca de 20.000 palavras. Como resultado, para uma sequência de cinco palavras comuns escolhidas aleatoriamente, existem 20.000 ^ 5, ou cerca de três sextilhões de combinações possíveis. Isso está muito além do alcance de qualquer ataque de força bruta atual.

Por outro lado, uma senha de oito caracteres escolhida aleatoriamente seria sintetizada em termos de caracteres, com cerca de 80 possibilidades, incluindo maiúsculas, minúsculas, números, caracteres e espaços. 80 ^ 8 é apenas um quatrilhão. Isso ainda soa grande, mas quebrá-lo está realmente dentro do reino da possibilidade. Dado dez computadores desktop de ponta (cada um dos quais pode executar cerca de dez milhões de hashes por segundo), pode ser brutalmente forçado em alguns meses - e a segurança se desfaz totalmente se não for realmente aleatória. Também é muito mais difícil de lembrar.

Outra opção é usar um gerenciador de senhas, que pode gerar senhas seguras para você em tempo real, e todas podem ser "desbloqueadas" usando uma única senha mestra. Você ainda precisa escolher uma senha mestra muito boa (e se a esquecer, está com problemas) - mas se os hashes de senha vazarem em uma violação do site, você tem uma forte camada extra de segurança.

Vigilância constante

A boa segurança da senha não é muito difícil, mas exige que você esteja ciente do problema e tome medidas para se manter seguro. Esse tipo de teste destrutivo pode ser uma boa chamada para despertar. Uma coisa é saber, intelectualmente, que suas senhas podem ser inseguras. Outra coisa é vê-lo sair do Hashcat depois de alguns minutos.

Como suas senhas se sustentaram? Deixe-nos saber nos comentários!

Escritor e jornalista baseado no sudoeste, Andre tem a garantia de permanecer funcional até 50 graus Celsius e é à prova d'água até uma profundidade de nove metros.