W artykule przetestowano 3 różne hasła przy użyciu narzędzia typu open source do łamania haseł, aby dowiedzieć się, która metoda naprawdę działa, jeśli chodzi o bezpieczeństwo haseł.
Spis treści
Kiedy tworzysz konto w usłudze online, dostawca zazwyczaj szyfruje Twoje dane logowania na swoich serwerach. Odbywa się to za pomocą algorytmu, który tworzy „hash”, czyli pozornie unikalny, losowy ciąg liter i cyfr stanowiący Twoje hasło. Oczywiście, nie jest to losowy ciąg znaków, ale bardzo konkretny ciąg znaków, który może wygenerować tylko Twoje hasło. Dla niewprawnego oka wygląda to jednak jak bałagan.
Zamiana słowa na hasz jest znacznie szybsza i łatwiejsza niż ponowne „dekodowanie” hasza na słowo. Kiedy więc ustawiasz hasło, usługa, do której się logujesz, analizuje Twoje hasło przez funkcję haszującą i przechowuje wynik na swoich serwerach.
Jeśli plik z hasłami wycieknie, hakerzy będą próbowali poznać jego zawartość, łamiąc hasło. Ponieważ szyfrowanie haseł jest szybsze niż ich odszyfrowywanie, hakerzy tworzą system, który przyjmuje potencjalne hasła jako dane wejściowe, szyfruje je tą samą metodą co serwer, a następnie porównuje wyniki z bazą danych haseł.
Jeśli skrót potencjalnego hasła pasuje do dowolnego wpisu w bazie danych, haker wie, że każda próba jest zgodna z potencjalnym hasłem.
Spróbuj złamać niektóre hasła wygenerowane w artykule i przekonaj się, jakie to proste. W tym celu w przykładzie wykorzystamy Hashcat , darmowe i otwarte narzędzie do łamania haseł , z którego może korzystać każdy.
W ramach tych testów przykład będzie łamał następujące hasła:
Teraz zaszyfruj hasło za pomocą algorytmu MD5. Oto jak wyglądałyby hasła, gdyby znajdowały się w zapisanym pliku haseł:
Czas je rozgryźć.
Na początek przeprowadźmy atak słownikowy, jedną z najpopularniejszych metod ataków na hasła. To prosty atak, w którym haker bierze listę potencjalnych haseł, prosi program Hashcat o przekonwertowanie ich na MD5 i sprawdza, czy którekolwiek z haseł pasuje do 3 wpisów powyżej. Na potrzeby tego testu wykorzystamy jako słownik plik „rockyou.txt”, który jest jednym z największych wycieków haseł w historii.
Aby rozpocząć łamanie zabezpieczeń, autor artykułu wszedł do folderu Hashcat, kliknął prawym przyciskiem myszy w pustym miejscu i wybrał Otwórz w terminalu . Teraz, gdy terminal jest otwarty i ustawiony na katalog Hashcat, wywołaj aplikację Hashcat za pomocą następującego polecenia:
.\hashcat -m 0 -a 0 passwordfile.txt rockyou.txt -o results.txtOto co robi to polecenie:
Mimo że rockyou był ogromny, Hashcat przetworzył je wszystkie w 6 sekund. W powstałym pliku Hashcat podaje, że złamał hasło 123456, jednak hasła Susan i Bitwarden pozostają niezłamane. Stało się tak, ponieważ hasło 123456 zostało użyte przez kogoś innego w pliku rockyou.txt, ale nikt inny nie użył hasła Susan ani Bitwarden, co oznacza, że były one wystarczająco bezpieczne, aby przetrwać ten atak.
Ataki słownikowe są skuteczne, gdy ktoś używa tego samego hasła, co hasło znalezione na długiej liście haseł. Są szybkie i łatwe do zastosowania, ale nie potrafią złamać haseł, których nie ma w słowniku. Dlatego jeśli naprawdę chcesz przetestować swoje hasło, musisz zastosować atak siłowy.
Jeśli ataki słownikowe polegają po prostu na użyciu wstępnie zdefiniowanej listy i konwertowaniu ich jeden po drugim, to ataki siłowe robią to samo, ale przy użyciu każdej możliwej kombinacji. Są trudniejsze do wdrożenia i zajmują więcej czasu, ale ostatecznie pozwolą złamać każde hasło. Jak wkrótce zobaczymy, nabycie tej umiejętności może czasem zająć dużo czasu.
Oto polecenie służące do przeprowadzenia „prawdziwego” ataku siłowego:
.\hashcat -m 0 -a 3 target.txt --increment ?a?a?a?a?a?a?a?a?a?a -o output.txtOto co robi to polecenie:
Nawet przy tej kiepskiej masce hasło 123456 można złamać w ciągu 15 sekund. Mimo że jest to najpopularniejsze hasło, jest też jednym z najsłabszych.
Hasło "Susan48!" dużo lepiej - komputer twierdzi, że złamanie zabezpieczeń zajmie 4 dni. Jest jednak jeden problem. Pamiętasz, jak w artykule napisano, że hasło Susan ma poważne luki? Największym błędem jest to, że hasła są konstruowane w przewidywalny sposób.
Tworząc hasła, często umieszczamy określone elementy w określonych miejscach. Można sobie wyobrazić, że Susan, która stworzyła hasło, próbowała na początku używać słowa „susan”, ale została poproszona o dodanie wielkich liter i cyfr. Aby łatwiej było zapamiętać, pierwszą literę zapisali wielką literą, a na końcu dodali cyfry. Następnie usługa logowania poprosiła o symbol, więc osoba ustawiająca hasło dodała go na końcu.
Możemy więc za pomocą maski wskazać programowi Hashcat, aby próbował wprowadzać tylko określone znaki w określonych miejscach, wykorzystując w ten sposób łatwość odgadnięcia haseł przez użytkowników. W tej masce „?u” będzie używać na tej pozycji tylko wielkich liter, „?l” będzie używać tylko małych liter, a „?a” będzie reprezentować dowolny znak:
.\hashcat -m 0 -a 3 -1 ?a target.txt ?u?l?l?l?l?a?a?a -o output.txtDzięki tej masce Hashcat złamał hasło w 3 minuty i 10 sekund, znacznie szybciej niż zajęło mu to 4 dni.
Hasło Bitwarden składa się z 10 znaków i nie opiera się na żadnym przewidywalnym wzorcu, więc do jego złamania potrzebny by��by atak siłowy bez maski. Niestety, gdy poprosiłem Hashcata o wykonanie tej czynności, pojawił się błąd informujący, że liczba możliwych kombinacji przekracza limit liczb całkowitych. Ekspert ds. bezpieczeństwa IT twierdzi, że Bitwardenowi złamanie hasła zajęło 3 lata, więc to wystarczy.
Głównymi czynnikami uniemożliwiającymi złamanie hasła Bitwarden są długość artykułu (10 znaków) i nieprzewidywalność. Tworząc hasło, postaraj się więc, aby było jak najdłuższe i aby symbole, cyfry i wielkie litery były równomiernie rozłożone w całym haśle. Dzięki temu hakerzy nie mogą używać masek do przewidywania lokalizacji każdego elementu, co sprawia, że zabezpieczenia te stają się znacznie trudniejsze do złamania.
Prawdopodobnie znasz stare przysłowia dotyczące haseł, takie jak „użyj tablicy znaków” i „uczyń hasło tak długim, jak to możliwe”. Mamy nadzieję, że wiesz, dlaczego ludzie polecają te pomocne wskazówki – stanowią one bowiem kluczową różnicę między hasłem łatwym do złamania a bezpiecznym.
Telewizory Smart TV naprawdę podbiły świat. Dzięki tak wielu świetnym funkcjom i możliwościom połączenia z Internetem technologia zmieniła sposób, w jaki oglądamy telewizję.
Lodówki to powszechnie stosowane urządzenia gospodarstwa domowego. Lodówki zazwyczaj mają dwie komory: komora chłodna jest pojemna i posiada światło, które włącza się automatycznie po każdym otwarciu lodówki, natomiast komora zamrażarki jest wąska i nie posiada światła.
Na działanie sieci Wi-Fi wpływa wiele czynników poza routerami, przepustowością i zakłóceniami. Istnieje jednak kilka sprytnych sposobów na usprawnienie działania sieci.
Jeśli chcesz powrócić do stabilnej wersji iOS 16 na swoim telefonie, poniżej znajdziesz podstawowy przewodnik, jak odinstalować iOS 17 i obniżyć wersję iOS 17 do 16.
Jogurt jest wspaniałym produktem spożywczym. Czy warto jeść jogurt codziennie? Jak zmieni się Twoje ciało, gdy będziesz jeść jogurt codziennie? Przekonajmy się razem!
W tym artykule omówiono najbardziej odżywcze rodzaje ryżu i dowiesz się, jak zmaksymalizować korzyści zdrowotne, jakie daje wybrany przez Ciebie rodzaj ryżu.
Ustalenie harmonogramu snu i rutyny związanej z kładzeniem się spać, zmiana budzika i dostosowanie diety to niektóre z działań, które mogą pomóc Ci lepiej spać i budzić się rano o odpowiedniej porze.
Proszę o wynajem! Landlord Sim to mobilna gra symulacyjna dostępna na systemy iOS i Android. Wcielisz się w rolę właściciela kompleksu apartamentowego i wynajmiesz mieszkania, a Twoim celem jest odnowienie wnętrz apartamentów i przygotowanie ich na przyjęcie najemców.
Zdobądź kod do gry Bathroom Tower Defense Roblox i wymień go na atrakcyjne nagrody. Pomogą ci ulepszyć lub odblokować wieże zadające większe obrażenia.
Poznajmy budowę, symbole i zasady działania transformatorów w jak najbardziej dokładny spos��b.
Od lepszej jakości obrazu i dźwięku po sterowanie głosowe i wiele więcej — te funkcje oparte na sztucznej inteligencji sprawiają, że inteligentne telewizory stają się o wiele lepsze!
Początkowo ludzie wiązali duże nadzieje z DeepSeek. Jako chatbot oparty na sztucznej inteligencji, reklamowany jako silny konkurent ChatGPT, obiecuje inteligentne możliwości i doświadczenia związane z czatem.
Łatwo jest przegapić ważne szczegóły podczas zapisywania innych istotnych informacji, a próba robienia notatek podczas rozmowy może być rozpraszająca. Rozwiązaniem jest Fireflies.ai.
Axolot Minecraft będzie świetnym pomocnikiem dla graczy operujących pod wodą, jeśli tylko będą umieli się nim posługiwać.
Konfiguracja gry A Quiet Place: The Road Ahead została oceniona dość wysoko, dlatego też przed podjęciem decyzji o pobraniu należy wziąć ją pod uwagę.
