LINUX.ORG.RU

hashcat v6.0.0

 ,


0

1

В релизе 6.0.0 программы hashcat для подбора паролей по более чем 320 типам хешей (с использованием возможностей видеокарт) разработчик представил множество улучшений:

  • Новый интерфейс для плагинов с поддержкой модульных hash-режимов.
  • Новый интерфейс API, поддерживающий API, отличные от OpenCL.
  • Поддержка CUDA.
  • Подробная документация для разработчиков плагинов.
  • Режим эмуляции GPU — для запуска кода ядра на процессоре (вместо видеокарты).
  • Оптимизация поточности и обращений к видеопамяти.
  • Улучшение автоматической настройки (на основе оценки имеющихся ресурсов).
  • 51 новый тип хешей для перебора, в т.ч. Android Backup, BitLocker, PKZIP, QNX (shadow), SecureZIP, Telegram.
  • Улучшение производительности по старым хешам, в т.ч. MD5: 8.05%, NTLM: 13.70%, WPA/WPA2: 13.35%, SHA256: 8.77%, SHA512: 20.33%, WinZip: 119.43%.

>>> Подробности

★★★★★

Проверено: cetjs2 ()

именно поэтому пароль «poprobui-zaraza-podberi-vot-takoi-vot-konskii-parol» гораздо надежнее, чем jkkjlk@21

anonymous ()

Люблю рассказ The Hitchikers… там тоже есть интересный брутфорсер.

Mirage1_ ()

Профессиональный праздник кулхацкеров ЛОРа?

anti_win ★★ ()

Благодарим создателя за вклад в борьбу с бузотёрами и террористами!

perl5_guy ★★★ ()
Ответ на: комментарий от anonymous

О, раз уж ты эксперт, то спрошу: а насколько сильные пароли типа _d@rk_th3m3_ ? Мне недавно какой-то сайт при регистрации выдал, мол, у вас супер-пупер мегасильный пароль. Выходит, врут?

Gonzo ★★★★★ ()
Последнее исправление: Gonzo (всего исправлений: 1)
Ответ на: комментарий от Gonzo

какой-то сайт при регистрации выдал, мол, у вас супер-пупер мегасильный пароль. Выходит, врут?

Сабжевая програмка для ломания хешей. Она пригодится, если хакер уже утащил базу данных сайта, у него уже есть твои данные и он просто захотел еще узнать пароль.

goingUp ★★★★★ ()
Ответ на: комментарий от Gonzo

В интернетах есть сайта на которых можно проверить энтропию твоего пароля. Например, grc.com/haystack.htm Они там ниже пишут, что It is NOT a “Password Strength Meter", но можно примерно посмотреть, что влияет на «силу» пароля. Больше всего на неё влияет длинна. Пароль sorokvosemobezyan по словарю подбирать заебёшься, запоминается он проще твоего, а его энтропия выше.

anonymous ()
Ответ на: комментарий от anti_win

Профессиональный праздник кулхацкеров ЛОРа?

Чувак, кулхацкеры выросли и пошли работать продажниками в офис. Сейчас даже таких нет. Одни калишкольники.

crutch_master ★★★★★ ()
Последнее исправление: crutch_master (всего исправлений: 1)
Ответ на: комментарий от anonymous

Но ведь sorokvosemobezyan по словарю раз плюнуть же, не?

Gonzo ★★★★★ ()
Ответ на: комментарий от anonymous

Кстати, проверил _d@rk_th3m3_ на разных сайтиках. Разброс взлома от 2 месяцев до 2000 лет. Лол.

Gonzo ★★★★★ ()
Последнее исправление: Gonzo (всего исправлений: 1)
Ответ на: комментарий от Gonzo

Но как? Чем принципиально слово sorokvosemobezyan отличается от слова sireneviykovshgorit ? В каких словарях такие слова встречаются?

А про разброс времени взлома - всё ИМХО зависит от того, на чём, по мнению авторов сайта, будут взламывать. Кто-то берёт реалистичный вариант в виде сервера/сети видях или даже просто домашнего компа, кто-то - квантовые суперкомпьютеры АНБ.

anonymous ()
Ответ на: комментарий от anonymous

Но как?

А как словари работают? Подключи туда еще транслитератор, и твой сиреневый-ковш-горит пойдет как дети в школу. В моем же случае это будет численно-буквенный подбор, для которого как раз и нужны будут квантовые суперкомпьютеры АНБ. Не знаю, могу ошибаться, конечно, но мне кажется, в твоем случае длина - такой себе критерий.

Gonzo ★★★★★ ()
Ответ на: комментарий от Gonzo

Это все подбирается не так, ты заранее перебираешь и генерирует хеши всех возможных строк, а потом смотришь у каких строк такой же хеш как у пароля жертвы. Поэтому что там написано в строке - не важно, можешь эмодзи туда вкорячить ещё, хешу без разницы.

Надо чтобы хеш твоего пароля никуда не утекал. Например браузер отправляющий куда-то хеш пароля однозначно этот пароль компрометирует.

anonymous ()
Ответ на: комментарий от Gonzo

Ну хз, мне твои слова кажутся странными. В моём понимании, перебор по словарю - это когда кулхацкер пытается угадать твой пароль, последовательно хэшируя все слова из какого-то словаря Комбинация двух и более слов в одно - это уже не перебор по словарю, а обычный брутфорс всех возможных комбинаций букв латинского алфавита в пароле заданной длины. А против брутфорса длина как раз и решает.

Что касается пароля, то смотри сам. На том сайте, что я скидывал, пишут вот такое:

Пароль «Proverka(=3@» имеет Search Space Size 5.46 x 10^23 и его взлом на КС АНБ займёт 1.74 centuries

Пароль «ProverkaProverki» имеет Search Space Size 2.91 x 10^27 и его взлом на КС АНБ займёт 9.27 thousand centuries

При этом второй пароль куда проще запомнить. Конечно, я сам использую менеджер паролей и пароли вида HUO8FjTQIHEQunFP5LAr, но, например, пароль для входа в комп или почту (т.е. часто используемый из памяти и набираемый руками) лучше брать человеческий, а не кулхакерский.

Читал, кстати, что требования к паролям «большие и маленькие буквы, цифры и спецсимволы» придумали случайно. Т.е. под ними нет никакой научной базы. Просто их автор решил, что так будет безопаснее. Пару лет назад произошел пересмотр взглядов на пароли и нынче принято считать, что пароль должен быть длинным, а не выглядеть как ник тринадцатилетнего хакера. Такой пароль пользователь не будет писать на мониторе и (в том числе поэтому) он безопаснее.

anonymous ()
Ответ на: комментарий от anonymous

можешь эмодзи туда вкорячить ещё

Сайт циско не принял пароль, сгенерированный Keepass’ом по моей стандартной схеме. Пришлось ограничится буквенно-цифровым. ХЗ чем такие наркоманы руководствуются. Берегут процессорное время своих серваков штоле? Как и зачем они вообще смотрят, что у меня в пароле?

anonymous ()
Ответ на: комментарий от Gonzo

В моем же случае это будет численно-буквенный подбор
d@rk_th3m3

Как будто нету эвристик a -> @, ^ -> _, $ -> _, e -> 3, space -> _. Т.е. те же словари вход и пойдут. Два популярных коротких английских слова в идиоматическом порядке подобрать будет проще чем восемь слов транслитом.

jkkjlk@21 это 9 символов с алфавитом [a-z0-9@] из 37 элементов, т.е. 37 в степени 9 вариантов. Допустим что и dark и theme входят в 2000 самых популярных слов, т.е. 2000*2000 вариантов и 2 в пятой схем применения эвристик. Итого:

jkkjlk@21
~ 37^9          =             129961739795077

_d@rk_th3m3_
~ 2^5*2000^2    =                   128000000

poprobui-zaraza-podberi-vot-takoi-vot-konskii-parol
~ 2000^8        = 256000000000000000000000000

Посчитать скорее всего можно намного точнее, но между ними и так видна большая разница.

xaizek ★★★★★ ()
Ответ на: комментарий от anonymous

Понятно. Не знаю, вас тут двое анонимов, или я общался с одним, но обоим спасибо, буду знать теперь.

Gonzo ★★★★★ ()
Ответ на: комментарий от xaizek

Ясно, благодарю. Теперь придется поменять везде свой _d@rk_th3m3_ на что-то более длинное и сложное :(

Gonzo ★★★★★ ()
Ответ на: комментарий от Gonzo

Он, кстати, не совсем прав. В том смысле, что он описывает радужные таблицы - когда берут все слова словаря, прогоняют через хэш и на выходе получают базу данных вида пароль-хэш. Но если алгоритм хэширования уязвим, то есть вариант получить коллизию - зная хэш твоего пароля «взломать алгоритм» и подобрать такое слово, которое даёт одинаковый с твоим паролем хэш. Но тут мы уже заходим на территорию правила «ты имеешь дело либо с Моссадом, либо не с Моссадом». Скорее всего, твоя «тёмная тема» более чем адекватно защищает твои любимые учётки. А если ты таки имеешь дело с Моссадом, то тебе уже ничто не поможет и менять пароли бесполезно,

anonymous ()
Ответ на: комментарий от Gonzo

О, раз уж ты эксперт, то спрошу: а насколько сильные пароли типа d@rk_th3m3 ? Мне недавно какой-то сайт при регистрации выдал, мол, у вас супер-пупер мегасильный пароль. Выходит, врут?

Сила в кол-ве бит энтропии. А для брут-форса – в длине. Это не всегда одно и то же.

kostyarin_ ★★ ()
Ответ на: комментарий от anonymous

Да-да, а если у них еще и паяльник будет, так вообще нет смысла выдумывать какие-то нелепые сочетания букв и цифр :)

Gonzo ★★★★★ ()

Отличная программа! Очень помогает по жизни. ;)

anonymous ()
Ответ на: комментарий от anonymous

Потому что «сложно» писать валидацию, которая учитывает тех, кто понимает, что такое сложный пароль, и тех, кто не понимает. То есть условие «усложняется» - либо «пароль из alnum, но длинный», либо «пароль чуть покороче, но больше символов». проще уже сразу попросить все символы поиспользовать. херня, а что поделать.

cdshines ★★★★ ()
Ответ на: комментарий от cdshines

с каких-то пор просто начал брать какой-то кусок стиха/песни/цитаты и менять пару последних символов на ебнутые. например, открываешь что-то типа https://www.afi.com/afis-100-years-100-movie-quotes/, там "Elementary, my dear Watson". Делаешь из него elementarymydearw@ts0N!, готово.

cdshines ★★★★ ()
Последнее исправление: cdshines (всего исправлений: 1)
Ответ на: комментарий от cdshines

а вообще, с тех пор, как бразузеры научились хранить, синхронизировать и генерировать пароли, я уже сто лет, как почти ни один свой пароль не знаю.

cdshines ★★★★ ()
Последнее исправление: cdshines (всего исправлений: 1)
Ответ на: комментарий от anonymous

даже с учётов коллизий, весь набор коллизий - это снижение области перебора на столько порядков, что перебор становится близким к тривиальному. а с учётом того, что применяются всё более и более «безопасные» хеши, то коллизий тоже становится меньше и узнать твой пароль уже можно даже не по всему хешу, а только по его части, потому что в неизвестной части хеша коллизии никогда не возникнут.

anonymous ()
Ответ на: комментарий от cdshines

а вообще, с тех пор, как бразузеры научились хранить, синхронизировать и генерировать пароли, я уже сто лет, как почти ни один свой пароль не знаю.

зато я знаю. если что - звони, подскажу. не шутка. мог бы рассказать одну преинтереснейшую историю связанную с лором, но не буду, ибо деанон.

anonymous ()

Всё фигня. Старый добрый паяльник расшифровывает пароли любой сложности за несколько минут. Софтина может быть полезна только параноикам, которые зашифруются от товарища майора по самую макушку, а потом все эти пароли забывают, впрочем как и одну старую мудрость об уязвимости прокладки между монитором и стулом.

anonymous ()
Ответ на: комментарий от anonymous

Што? Ты хочешь сказать, что SHA256, который везде пихают на замену MD5 - более уязвим?

anonymous ()
Ответ на: комментарий от Gonzo

Смотря для чего. В нормальном софте не используют просто хэш, там заданное количество итераций хэширования предыдущего хэша, причём хэши могут быть разные, + соль. Затем в базу выплёвывается финальный хэш, какой-нибудь sha256. Его бесполезно подбирать, если злоумышленник не знает алгоритм. В таком случае сложность пароля рассматривается с точки зрения длительности брутфорса. Если это сайт, там брут может быть на грани невозможного. Если же пароль словарный (а варианты слов в транслите - точно словарный) - его подобрать проще. Так что да, для сайта со своим алгоритмом хэширования (хотя бы уникальной солью, популярные CMS генерируют её рандомно при установке) и защитой от брута - это надёжный пароль. Для оффлайн софта, где известен алгоритм хэширования и есть возможность неограниченного брута - не очень, т.к. он короткий, хотя словарная хрень тоже не подойдёт.

InterVi ★★ ()
Ответ на: комментарий от anonymous

В каких словарях такие слова встречаются?

В словарях адекватных хакеров. Это первое, что приходит на ум. Взять русский транслит и сгенерировать варианты последовательностей, в том числе с тире, нижним подчёркиванием, заглавными буквами. Также адекватный хакер не будет пользоваться только одним словарём или только полным перебором, он будет пользоваться всем сразу, если ресурсы позволяют. Но в первую очередь конечно же словарями. Поэтому такой пароль легко разгадать. Нужно добавить пару случайных букв и цифр. Например, слово-цифра-буква-цифра-слово, чтобы пароль перестал быть словарным, но по прежнему был легко запоминаем. Что-то вроде такого:!2sireneviy7h7kovsh3g3gorit2!

А ещё можно взять такой пароль и захэшировать, пользуясь хэшем, а не самим паролем. Хэш вообще фиг угадаешь, а превратить пароль в хэш легко даже с телефона.

InterVi ★★ ()
Ответ на: комментарий от anonymous

sha-256 менее уязвим в плане коллизий, но твой пароль захешированный этим алгоритмом без соли можно идентифицировать по первым 7и символам хеша потому что в нём (барабанная дробь) меньше коллизий.

всё зависит для чего ты его применяешь. если по прямому назначению, то более защищён, если хешируешь пароли и кому-то передаёшь хеши, то над тобой надругаются.

anonymous ()

Используйте парольные фразы от 25+ символов и будет вам счастье. Их проще запомнить, так же трудно подобрать.

anonymous ()

Telegram

По ходу вот почему его разблокировали :-D

hatred ()

Telegram

лол, вот и приехали

eR ★★★★★ ()

а как подобрать пароль с хэшем D93257804052CCD14D957E9F9C9F63088C57775F ? выдается такое сообщение на этот хэш: Token length exception

anonymous ()
Ответ на: комментарий от InterVi

Ну т.е. по словарю он будет искать не просто «пароль из семнадцати букв», а «пароль из такой комбинации английских или русских слов, чтобы они, записанные без пробела, были семнадцать букв длинной». Действительно, это резко упрощает задачу. С ~ 3.75 centuries до всего пары десятков лет, наверное. Как, кстати, быть с diceware? Там мало того, что набор слов меньше, чем в английском, так ещё и готовые словари прямо с сайта EFF можно скачать.

Поэтому такой пароль легко разгадать.

Блин, слов нету просто. Ты сам то пробовал? По словарю можно какой-нибудь «sex123» подобрать за разумное время, два и больше случайных слова забрутфорсить можно разве что случайно.

anonymous ()
Ответ на: комментарий от anonymous

В моём понимании, перебор по словарю - это когда кулхацкер пытается угадать твой пароль, последовательно хэшируя все слова из какого-то словаря

Это так называемая «радужная таблица», которая не работает при использовании уникальной соли.

Перебор по словарю — это перебор по словарю. Берется готовый(или на ходу составляется новый) словарь и каждый пароль из него вбивается точно так, как это делал бы исконный владелец секрета, хоть в ту же веб-форму. А уже если ничего не подошло — нужно либо дополнить словарь(вычеркнув негодные варианты), либо переходить к полному перебору атаковать по сторонним каналам.

А против брутфорса длина как раз и решает.

Против брутфорса решает энтропия + время одной попытки подбора. %0e5yZt#VX подобрать намного сложнее, чем 0123456789, хотя длина одна и та же.

На том сайте, что я скидывал

Отлично. Теперь оба пароля можно взломать чрезвычайно быстро.

пароли вида HUO8FjTQIHEQunFP5LAr

Base64? Лучше дополнить и использовать «непечатные символы», пусть хоть так:

#!/usr/bin/env bash
echo $1
error(){
        echo "Не указана длина пароля. Синтаксис: password.sh число_символов"
        exit 1
}
if [ -z $1 ]
then
        error
fi
cat /dev/urandom | tr -dc 'a-zA-Z0-9!@#$%^&:+{}?>~^&*()_=\|/.,`;' | head -c$1

пароль для входа в комп или почту (т.е. часто используемый из памяти и набираемый руками) лучше брать человеческий, а не кулхакерский.

Пароль для почты прекрасно посидит в менеджере, т.о. нужно зубрить только 2: для входа и для менеджера. Второй можно не зубрить, а записать на флешки\sd-карты, которые всегда с собой, остаётся 1, вот его и зазубрить можно. Потерял флешку(одну из, не все!) — поменял пароль от менеджера, всё равно он у тебя локально зашифрован, так что не страшно.

Читал, кстати, что требования к паролям «большие и маленькие буквы, цифры и спецсимволы» придумали случайно. Т.е. под ними нет никакой научной базы.

Ложь. И длина, и разнообразие символов помогают неплохо увеличить энтропию. Банально используя не только строчные, но и заглавные буквы, мы удваиваем число доступных символов.

SM5T001 ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.