Sua senha é segura? Todos nós já ouvimos muitos conselhos sobre que tipos de senhas você nunca deve escolher - e há várias ferramentas que afirmam avaliar a segurança de sua senha online Colocar suas senhas no teste de crack com essas cinco ferramentas de força de senha Coloque suas senhas Através do teste de crack com estas cinco ferramentas de força de senha Todos nós lemos uma parte equitativa de perguntas 'como faço para quebrar uma senha'. É seguro dizer que a maioria deles é para fins nefastos, e não inquisitiva. Quebrando senhas ... Leia mais. No entanto, isso só pode ser duvidosamente exato. A única maneira de realmente testar a segurança de suas senhas é tentar quebrá-las.
Então, hoje, vamos fazer exatamente isso. Vou mostrar a você como usar uma ferramenta que hackers reais usam para quebrar senhas e mostrar como usá-la para verificar a sua. E, se falhar no teste, mostrarei como escolher senhas mais seguras que resistirão.
Configurando o Hashcat
A ferramenta que vamos usar é chamada Hashcat. Oficialmente, destina-se a recuperação de senha 6 Free Password Recovery Tools para Windows 6 Free Password Recovery Tools para Windows Leia mais, mas, na prática, isso é um pouco como dizer BitTorrent Beat the Bloat! Tente estes clientes leves de BitTorrent Beat the Bloat! Experimente estes leves clientes BitTorrent As armas não compartilham arquivos ilegais. As pessoas compartilham arquivos ilegais. Ou, espere, como vai de novo? O que eu quero dizer é que o BitTorrent não deve ser desrespeitado com base em seu potencial de pirataria. Leia mais destina-se a baixar arquivos sem direitos autorais. Na prática, é frequentemente usado por hackers que tentam quebrar senhas roubadas de servidores inseguros Ashley Madison Leak No Big Deal? Pensar novamente Ashley Madison Leak No Big Deal? Pense de novo Discreto site de namoro on-line Ashley Madison (alvejado principalmente em cônjuges de engano) foi hackeado. No entanto, esta é uma questão muito mais séria do que a que foi retratada na imprensa, com implicações consideráveis para a segurança do usuário. Consulte Mais informação . Como um efeito colateral, isso torna uma maneira muito poderosa de testar a segurança da senha.
Nota: este tutorial é para o Windows. Aqueles de vocês no Linux podem conferir o vídeo abaixo para ter uma idéia de onde começar.
Você pode obter o Hashcat na página da web hashcat.net. Faça o download e descompacte-o na sua pasta de downloads. Em seguida, vamos precisar de alguns dados auxiliares para a ferramenta. Vamos adquirir uma lista de palavras, que é basicamente um enorme banco de dados de senhas que a ferramenta pode usar como ponto de partida, especificamente o conjunto de dados rockyou.txt. Faça o download e cole na pasta Hashcat. Certifique-se de que ele seja chamado de 'rockyou.txt'
Agora vamos precisar de uma maneira de gerar os hashes. Nós estaremos usando WinMD5, que é uma ferramenta freeware leve que hashes arquivos específicos. Faça o download, descompacte-o e solte-o no diretório do Hashcat. Vamos criar dois novos arquivos de texto: hashes.txt e password.txt. Coloque ambos no diretório Hashcat.
É isso aí! Você está feito.
História do Povo das Guerras Hacker
Antes de usarmos esse aplicativo, vamos falar um pouco sobre como as senhas realmente se quebram e como chegamos a esse ponto.
De volta à enigmática história da ciência da computação, era prática padrão dos sites armazenarem senhas de usuários em texto simples. Isso parece fazer sentido. Você precisa verificar se o usuário enviou a senha correta. Uma maneira óbvia de fazer isso é manter uma cópia das senhas em um pequeno arquivo em algum lugar e verificar a senha enviada do usuário na lista. Fácil.
Este foi um desastre enorme. Os hackers teriam acesso ao servidor por meio de alguma tática desonesta (como pedir educadamente), roubar a lista de senhas, fazer o login e roubar o dinheiro de todos. Como os pesquisadores de segurança se recuperaram dos destroços do desastre, ficou claro que precisávamos fazer algo diferente. A solução foi hashing.
Para aqueles que não estão familiarizados, uma função hash O que todo esse material hash MD5 realmente significa [tecnologia explicou] O que todo esse material hash MD5 realmente significa [tecnologia explicada] Aqui está um resumo completo do MD5, hashing e uma pequena visão geral de computadores e criptografia . Leia mais é um pedaço de código que leva uma peça de informação e embaralha-se matematicamente em um pedaço de rabisco de comprimento fixo. Isso é chamado de "hashing" dos dados. O que é legal sobre eles é que eles só vão em uma direção. É muito fácil pegar um pedaço de informação e descobrir seu hash único. É muito difícil pegar um hash e encontrar uma informação que o gere. De fato, se você usar uma senha aleatória, você deve tentar todas as combinações possíveis para fazê-lo, o que é mais ou menos impossível.
Aqueles que estão acompanhando em casa podem perceber que os hashes têm algumas propriedades realmente úteis para os aplicativos de senha. Agora, em vez de armazenar a senha, você pode armazenar os hashes das senhas. Quando você quiser verificar uma senha, você o hash, exclua o original e verifique-o na lista de hashes. Todas as funções de hash fornecem os mesmos resultados, portanto, você ainda pode verificar se elas enviaram as senhas corretas. Crucialmente, as senhas de texto simples reais nunca são armazenadas no servidor. Então, quando hackers violam o servidor, eles não podem roubar senhas - apenas hashes inúteis. Isso funciona razoavelmente bem.
A resposta dos hackers para isso foi gastar muito tempo e energia chegando com maneiras realmente inteligentes para reverter hashes Ophcrack - A ferramenta de corte de senha para quebrar quase qualquer senha do Windows Ophcrack - Uma ferramenta de senha Hack para quebrar quase qualquer senha do Windows Há uma Muitas razões diferentes porque alguém iria querer usar qualquer número de ferramentas de hack de senha para hackear uma senha do Windows. Consulte Mais informação .
Como funciona o Hashcat
Podemos usar várias estratégias para isso. Um dos mais robustos é aquele que o Hashcat usa, que é perceber que os usuários não são muito criativos e tendem a escolher o mesmo tipo de senha.
Por exemplo, a maioria das senhas consiste em uma ou duas palavras em inglês, alguns números e talvez algumas substituições de letras "faladas em voz baixa" ou letras maiúsculas aleatórias. Das palavras escolhidas, algumas são mais prováveis do que outras: 'senha', o nome do serviço, seu nome de usuário e 'olá' são todos populares. Idem nomes de animais de estimação populares e o ano atual.
Sabendo disso, você pode começar a gerar palpites muito plausíveis sobre o que diferentes usuários podem ter escolhido, o que deve (eventualmente) permitir que você adivinhe corretamente, quebre o hash e tenha acesso às suas credenciais de login. Isso parece uma estratégia sem esperança, mas lembre-se de que os computadores são ridiculamente rápidos. Um computador moderno pode experimentar milhões de palpites por segundo.
Isso é o que vamos fazer hoje. Estaremos fingindo que suas senhas estão em uma lista de hash nas mãos de um hacker mal-intencionado e executando a mesma ferramenta de quebra de hash que os hackers usam nelas. Pense nisso como uma simulação de incêndio para sua segurança online. Vamos ver como acontece!
Como usar o Hashcat
Primeiro, precisamos gerar os hashes. Abra o WinMD5 e o seu arquivo 'password.txt' (no bloco de notas). Digite uma das suas senhas (apenas uma). Salve o arquivo. Abra-o usando o WinMD5. Você verá uma pequena caixa contendo o hash do arquivo. Copie isso para o seu arquivo 'hashes.txt' e salve-o. Repita isso, adicionando cada arquivo a uma nova linha no arquivo 'hashes.txt', até obter um hash para cada senha que você usa rotineiramente. Então, apenas por diversão, coloque o hash da palavra 'senha' como a última linha.
Vale a pena notar aqui que o MD5 não é um formato muito bom para armazenar hashes de senha - é muito rápido para computar, tornando o forçamento bruto mais viável. Como estamos fazendo testes destrutivos, isso é realmente uma vantagem para nós. Em um vazamento de senha real, nossas senhas seriam criptografadas com o Scrypt ou alguma outra função hash segura, que é mais lenta para ser testada. Usando o MD5, podemos essencialmente simular jogando muito mais poder de processamento e tempo no problema do que realmente temos disponível.
Em seguida, verifique se o arquivo 'hashes.txt' foi salvo e exiba o Windows PowerShell. Navegue até a pasta Hashcat ( cd .. sobe um nível, ls lista os arquivos atuais e cd [nome do arquivo] insere uma pasta no diretório atual). Agora digite ./hashcat-cli32.exe –hash-type = 0 –attack-mode = 8 hashes.txt rockyou.txt .
Esse comando basicamente diz “Execute o aplicativo Hashcat. Configure-o para trabalhar com hashes MD5 e use um ataque de “modo principe” (que usa uma variedade de estratégias diferentes para criar variações nas palavras da lista). Tente quebrar as entradas no arquivo 'hashes.txt' e use o arquivo 'rockyou.txt' como um dicionário.
Aperte enter e aceite o EULA (que basicamente diz “Eu juro que não vou hackear nada com isso”), e então deixe-o rodar. O hash da senha deve aparecer em um segundo ou dois. Depois disso, é apenas uma questão de esperar. Senhas fracas aparecerão em poucos minutos em um processador moderno e rápido. Senhas normais aparecerão em algumas horas para um dia ou dois. Senhas fortes podem levar muito tempo. Uma das minhas senhas antigas foi quebrada em menos de dez minutos.
Você pode deixar essa corrida pelo tempo que quiser. Eu sugiro pelo menos de um dia para o outro, ou no seu PC enquanto você está no trabalho. Se você fizer isso 24 horas, sua senha provavelmente é forte o suficiente para a maioria dos aplicativos - embora isso não seja uma garantia. Os hackers podem estar dispostos a executar esses ataques por um longo tempo ou ter acesso a uma lista de palavras melhor. Em caso de dúvida sobre a segurança da senha, obtenha uma melhor.
Minha senha foi quebrada: agora o que?
Mais do que provavelmente, algumas de suas senhas não resistiram. Então, como você pode gerar senhas fortes para substituí-las? Como se constata, uma técnica realmente forte (popularizada por xkcd) é a frase secreta. Abra o livro mais próximo, vá para uma página aleatória e coloque o dedo em uma página. Pegue o substantivo mais próximo, verbo, adjetivo ou advérbio, e lembre-se disso. Quando você tiver quatro ou cinco, coloque-os juntos sem espaços, números ou capitalizações. NÃO use “correcthorsebatterystaple”. Infelizmente, ele se tornou popular como uma senha e está incluído em muitas listas de palavras.
Um exemplo de senha que acabei de gerar a partir de uma antologia de ficção científica que estava na minha mesa de café é “leanedsomeartisansharmingdarling” (não use essa, também). Isso é muito mais fácil de lembrar do que uma seqüência arbitrária de letras e números, e é provavelmente mais seguro. Os falantes nativos de inglês têm um vocabulário de trabalho de cerca de 20.000 palavras. Como resultado, para uma seqüência de cinco palavras comuns escolhidas aleatoriamente, existem 20.000 ^ 5 ou cerca de três sextillions possíveis combinações. Isso está bem além do alcance de qualquer ataque de força bruta atual.
Em contraste, uma senha de oito caracteres escolhida aleatoriamente seria sintetizada em termos de caracteres, com cerca de 80 possibilidades, incluindo maiúsculas, minúsculas, números, caracteres e espaços. 80 ^ 8 é apenas um quadrilhão. Isso ainda soa grande, mas quebrá-lo está realmente dentro do reino da possibilidade. Com dez desktops de última geração (cada um dos quais pode fazer cerca de dez milhões de hashes por segundo), isso pode ser forçado brutal em alguns meses - e a segurança se desfaz totalmente se não for realmente aleatória. Também é muito mais difícil de lembrar.
Outra opção é usar um gerenciador de senhas, que pode gerar senhas seguras para você na hora, todas as quais podem ser 'desbloqueadas' usando uma única senha mestra. Você ainda tem que escolher uma senha mestra realmente boa (e se você esquecer, você está com problemas) - mas se os hashes de senha vazarem em uma violação de site, você terá uma forte camada extra de segurança.
Vigilância constante
Uma boa segurança de senha não é muito difícil, mas exige que você esteja ciente do problema e tome medidas para permanecer seguro. Esse tipo de teste destrutivo pode ser uma boa chamada de ativação. Uma coisa é saber, intelectualmente, que suas senhas podem ser inseguras. Outra é realmente vê-lo sair do Hashcat depois de alguns minutos.
Como suas senhas se sustentam? Deixe-nos saber nos comentários!