Zastanawiałeś się jak przestępcy "łamią hasła"? Szybkie wytłumaczenie jak działa hashcat. #od0dopentestera
• Hasła użytkowników zazwyczaj przechowujemy w bazie. Przy pomocy ataku SQL Injection czasami można je wykraść. Firmy chcą minimalizować skutki takiego wycieku dlatego zapisują je w formie hasha.
• Funkcja skrótu zamienia hasło na hash. Można to porównać do miksera, który robi smoothie. Z tych samych owoców – powstaje to samo smoothie. To samo hasło daje ten sam hash. Nie da się zamienić napoju z powrotem na owoce. Czyli nie da się stwierdzić na podstawie samego hasha jakie hasło zostało użyte do jego stworzenia.
• Jedyna pewna metoda na odnalezienie hasła to sprawdzanie wszystkich możliwości po kolei. Czyli sprawdzamy hasło aaa, aab, aac. Ale może to trwać bardzo długo – dlatego najpierw używa się szybszych metod.
• Najprostsza to atak słownikowy. Mamy plik tekstowy, w którym znajdują się hasła – każde w nowej linii. Program wylicza na ich podstawie hashe i porównuje z tym, co chcemy znaleźć. Można tak też generować nowe słowa – łącząc frazy z dwóch różnych słowników. Program pozwala również na dodawanie znaków na początek/koniec hasła (bo użytkownicy lubą dopisywać wykrzyknik na koniec hasła). Minusy? Jeśli wyrazu nie ma w słowniku – to nic nie znajdziemy.
• Sporo osób wykorzystuje "algorytm". Na przykład zamienia każdą literę "s" na znak dolara "$". Reguły to specjalny mini język programowania. Pokazuje on jak należy zmienić hasło. Zapisuje się je w postaci kilku liter. "u" oznacza "zamień wszystkie litery na ich duże odpowiedniki" a "k" – zamień miejscami pierwsze dwa znaki. "$9" dopiszę cyfrę 9 na koniec. Jeśli więc w słowniku mamy hasło "kacper" to reguła "uk$9"
• Hasła użytkowników zazwyczaj przechowujemy w bazie. Przy pomocy ataku SQL Injection czasami można je wykraść. Firmy chcą minimalizować skutki takiego wycieku dlatego zapisują je w formie hasha.
• Funkcja skrótu zamienia hasło na hash. Można to porównać do miksera, który robi smoothie. Z tych samych owoców – powstaje to samo smoothie. To samo hasło daje ten sam hash. Nie da się zamienić napoju z powrotem na owoce. Czyli nie da się stwierdzić na podstawie samego hasha jakie hasło zostało użyte do jego stworzenia.
• Jedyna pewna metoda na odnalezienie hasła to sprawdzanie wszystkich możliwości po kolei. Czyli sprawdzamy hasło aaa, aab, aac. Ale może to trwać bardzo długo – dlatego najpierw używa się szybszych metod.
• Najprostsza to atak słownikowy. Mamy plik tekstowy, w którym znajdują się hasła – każde w nowej linii. Program wylicza na ich podstawie hashe i porównuje z tym, co chcemy znaleźć. Można tak też generować nowe słowa – łącząc frazy z dwóch różnych słowników. Program pozwala również na dodawanie znaków na początek/koniec hasła (bo użytkownicy lubą dopisywać wykrzyknik na koniec hasła). Minusy? Jeśli wyrazu nie ma w słowniku – to nic nie znajdziemy.
• Sporo osób wykorzystuje "algorytm". Na przykład zamienia każdą literę "s" na znak dolara "$". Reguły to specjalny mini język programowania. Pokazuje on jak należy zmienić hasło. Zapisuje się je w postaci kilku liter. "u" oznacza "zamień wszystkie litery na ich duże odpowiedniki" a "k" – zamień miejscami pierwsze dwa znaki. "$9" dopiszę cyfrę 9 na koniec. Jeśli więc w słowniku mamy hasło "kacper" to reguła "uk$9"
#ukraina