Zastanawiałeś się jak przestępcy "łamią hasła"? Szybkie wytłumaczenie jak działa hashcat. #od0dopentestera • Hasła użytkowników zazwyczaj przechowujemy w bazie. Przy pomocy ataku SQL Injection czasami można je wykraść. Firmy chcą minimalizować skutki takiego wycieku dlatego zapisują je w formie hasha. •Funkcja skrótu zamienia hasło na hash. Można to porównać do miksera, który robi smoothie. Z tych samych owoców – powstaje to samo smoothie. To samo hasło daje ten sam hash. Nie da się zamienić napoju z powrotem na owoce. Czyli nie da się stwierdzić na podstawie samego hasha jakie hasło zostało użyte do jego stworzenia. • Jedyna pewna metoda na odnalezienie hasła to sprawdzanie wszystkich możliwości po kolei. Czyli sprawdzamy hasło aaa, aab, aac. Ale może to trwać bardzo długo – dlatego najpierw używa się szybszych metod. • Najprostsza to atak słownikowy. Mamy plik tekstowy, w którym znajdują się hasła – każde w nowej linii. Program wylicza na ich podstawie hashe i porównuje z tym, co chcemy znaleźć. Można tak też generować nowe słowa – łącząc frazy z dwóch różnych słowników. Program pozwala również na dodawanie znaków na początek/koniec hasła (bo użytkownicy lubą dopisywać wykrzyknik na koniec hasła). Minusy? Jeśli wyrazu nie ma w słowniku – to nic nie znajdziemy. • Sporo osób wykorzystuje "algorytm". Na przykład zamienia każdą literę "s" na znak dolara "$". Reguły to specjalny mini język programowania. Pokazuje on jak należy zmienić hasło. Zapisuje się je w postaci kilku liter. "u" oznacza "zamień wszystkie litery na ich duże odpowiedniki" a "k" – zamień miejscami pierwsze dwa znaki. "$9" dopiszę cyfrę 9 na koniec. Jeśli więc w słowniku mamy hasło "kacper" to reguła "uk$9" zamieni je na "AKCPER9". • Inną opcją są maski. Próbujemy przewidzieć jakie znaki użył użytkownik w konkretnym miejscu hasła. Strona prosi o dużą literę? Pewno użytkownik poda ją na początku. Wymagana jest cyfra? Pewno zostanie dopisana na koniec. To są nasze przypuszczenia. Ale jeśli są słuszne - znacząco przyspieszą atak. Maska "?l?d?s" oznacza, że pierwszy znak to mała litera, drugi to cyfra a trzeci to znak specjalny. Hashcat sprawdzi więc hasła w stylu "a4!" i "b2%" ale już nie "111" czy "BBB".
@KacperSzurek: Zastanawiam się, dlaczego większość filmów w tych tematach nie wygląda podobnie do Twojego. U Ciebie jasno, zrozumiale, przejrzyście. Wszystko uporządkowane. Zrozumiałe nawet dla laika.
A ja tam nie lubię manadzerow hasel, bo korzystam z wielu urzadzen, z wielu roznych typow kont i w praktyce raz to dziala, gdzie indziej nie, bo hasło idzie przez program/apke i jest dupa.
Imo można połączyć łatwe do zapamietania hasła z niemożliwością ich do złamania przez różne programy crackerskie, jak te omowione pod warunkiem oczywiście, że takie hasło nie wycieknie w plaintekście ale wtedy i tak już dupa (chociaż nie wiem
@KaMaTwo: słownikowo, o czym mowa w filmie, to jest dobre do prostych haseł składających się z jednego, dwóch słów nieodmienych przez przypadki, a nie do całych zdań jak podałem.
@KacperSzurek: pytanie jak hash jest odczytywany przez bazę danych skoro to mikser i nie ma jednego konkretnego algorytmu żeby rozszyfrować taki ciąg znaków, skąd strona wie że wpisałem dobre hasło?
@droid43210: w momencie jak podajesz hasło logowania do strony, to ona za pomocą swojego algorytmu je "miksuje" (tworzy owy skrót, hash) i porównuje z wcześniej wygenerownym i zapissanym hashem twojego hasła w bazie. Jak oba miksy (hashe) się zgadzają to przepuszcza. :)
@Luck_89: @EugeniuszGeniusz: No tak ale jak je porówna skoro za każdym razem może je dowolnie zmiksować? Czyli jakiś stały algorytm jest i można taki program hakera nauczyć haseł (coś jak deszyfratory MD5)
Po 4 latach malzenstwa wlasnie zdradzila mnie zona, bylismy w trakcie kupna domu. Wesolych Swiat wszystkim. Nie mam sily. Moj uwczesny swiat ruchnal, dodam ze na emigracji nie mam rodziny. #zycie #przegryw #zwiazki #depresja #zdrada
• Hasła użytkowników zazwyczaj przechowujemy w bazie. Przy pomocy ataku SQL Injection czasami można je wykraść. Firmy chcą minimalizować skutki takiego wycieku dlatego zapisują je w formie hasha.
• Funkcja skrótu zamienia hasło na hash. Można to porównać do miksera, który robi smoothie. Z tych samych owoców – powstaje to samo smoothie. To samo hasło daje ten sam hash. Nie da się zamienić napoju z powrotem na owoce. Czyli nie da się stwierdzić na podstawie samego hasha jakie hasło zostało użyte do jego stworzenia.
• Jedyna pewna metoda na odnalezienie hasła to sprawdzanie wszystkich możliwości po kolei. Czyli sprawdzamy hasło aaa, aab, aac. Ale może to trwać bardzo długo – dlatego najpierw używa się szybszych metod.
• Najprostsza to atak słownikowy. Mamy plik tekstowy, w którym znajdują się hasła – każde w nowej linii. Program wylicza na ich podstawie hashe i porównuje z tym, co chcemy znaleźć. Można tak też generować nowe słowa – łącząc frazy z dwóch różnych słowników. Program pozwala również na dodawanie znaków na początek/koniec hasła (bo użytkownicy lubą dopisywać wykrzyknik na koniec hasła). Minusy? Jeśli wyrazu nie ma w słowniku – to nic nie znajdziemy.
• Sporo osób wykorzystuje "algorytm". Na przykład zamienia każdą literę "s" na znak dolara "$". Reguły to specjalny mini język programowania. Pokazuje on jak należy zmienić hasło. Zapisuje się je w postaci kilku liter. "u" oznacza "zamień wszystkie litery na ich duże odpowiedniki" a "k" – zamień miejscami pierwsze dwa znaki. "$9" dopiszę cyfrę 9 na koniec. Jeśli więc w słowniku mamy hasło "kacper" to reguła "uk$9" zamieni je na "AKCPER9".
• Inną opcją są maski. Próbujemy przewidzieć jakie znaki użył użytkownik w konkretnym miejscu hasła. Strona prosi o dużą literę? Pewno użytkownik poda ją na początku. Wymagana jest cyfra? Pewno zostanie dopisana na koniec. To są nasze przypuszczenia. Ale jeśli są słuszne - znacząco przyspieszą atak. Maska "?l?d?s" oznacza, że pierwszy znak to mała litera, drugi to cyfra a trzeci to znak specjalny. Hashcat sprawdzi więc hasła w stylu "a4!" i "b2%" ale już nie "111" czy "BBB".
Więcej opowiadam w tym filmie.
Jeśli uważasz, że ten film jest przydatny - możesz go wykopać.
Interesujesz się bezpieczeństwem - sprawdź mój newsletter.
#technologia #security #bezpieczenstwo #gruparatowaniapoziomu #ciekawostki #historia #swiat #nauka #programowanie
Treść została ukryta...
Treść została ukryta...
Treść została ukryta...
Treść została ukryta...
Treść została ukryta...
Treść została ukryta...
Treść została ukryta...
Treść została ukryta...
Treść została ukryta...
U Ciebie jasno, zrozumiale, przejrzyście. Wszystko uporządkowane. Zrozumiałe nawet dla laika.
Imo można połączyć łatwe do zapamietania hasła z niemożliwością ich do złamania przez różne programy crackerskie, jak te omowione pod warunkiem oczywiście, że takie hasło nie wycieknie w plaintekście ale wtedy i tak już dupa (chociaż nie wiem
Komentarz usunięty przez autora