john the ripper para avaliar a força relativa da senha

Eu faço isso o tempo todo ...

Usar o John para executar uma verificação rápida de um arquivo de senhas para meus clientes me ajuda a enfatizar a importância de melhores políticas de senha. E permite algum direcionamento de usuários com senhas especialmente fracas.

Se em alguns minutos eu puder gerar uma saída como abaixo, é um bom apelo à ação:

mqv:1adam:1198:1200::/home/mqv:/bin/bash
jxe:snake:1200:1202::/home/jxe:/bin/bash
mnc:angel:1202:1204::/home/mnc:/bin/bash
jrm:medina:1203:1205::/home/jrm:/bin/bash
dom:laser:1204:1206::/home/dom:/bin/bash
rrr:ready:1205:1207::/home/rrr:/bin/bash
ELV:PLUTO:1208:1210::/home/ELV:/bin/bash
elv:pluto:1209:1211::/home/elv:/bin/bash
cxc:luna:1212:1214::/home/cxc:/bin/bash
BXB:STARS:1214:1216::/home/BXB:/bin/bash
bxb:stars:1215:1217::/home/bxb:/bin/bash
IXG:VIDEO:1216:1218::/home/IXG:/bin/bash

Estou com todos os outros - se você, com seus recursos minúsculos e paciência limitada, puder encontrar senhas, o atacante com alguns (amigos com) PCs com 8 Radeon R290X cada, que decidir passar um mês ou dois em apenas o seu arquivo de senha, e quem é muito, muito mais experiente do que você, com melhores listas de palavras e conjuntos de regras, definitivamente vai encontrá-los.

Se você realmente insistir em classificar por fraqueza, então faça ataques em sequência, o menor espaço de teclas exaustivo primeiro. Por exemplo (os keypaces são estimativas aproximadas, NÃO são cálculos de precisão):

• Ataque de dicionário exaustivo baseado em regras com o minúsculo dicionário phpbb de 184389 palavras e o conjunto de regras Best64 é 1E7
• Markov / força bruta exaustiva de senhas de 8 caracteres de todos os dígitos são 1E8
• Ataque de máscara do pequeno dicionário phpbb de 184389 palavras com um sufixo de todos os números entre 0 e 999, ambos com e sem um trailing !, é 3E8
• Ataque de dicionário exaustivo baseado em regras com o minúsculo dicionário phpbb e o excelente conjunto de regras d3ead0ne das regras do 35404 é 6E9
• Markov / força bruta exaustiva de senhas de 8 caracteres de 5 caracteres minúsculos, mas sempre terminando com 123 são 26 ^ 5 ou 8E9
• Markov / força bruta exaustiva de senhas de 8 caracteres de 8 caracteres menores / numéricos é 2E12
• Ataque de dicionário exaustivo baseado em regras com o dicionário InsidePro Full de 154045162 palavras e o excelente conjunto de regras d3ead0ne das regras 35404 é 5E12
• ....
• Markov / força bruta exaustiva de senhas de 8 caracteres de 8 caracteres inferiores / superiores / numéricos é 2E14
• ....
• Combinação exaustiva baseada em regras do minúsculo dicionário phpbb de 184389 palavras cruzadas com o InsidePro Full e depois aplicando o dicionário InsidePro Full de 154045162 palavras e o excelente conjunto de regras d3ead0ne das regras do 35404 é 1E18
• Novamente, se ALGUMA delas encontrar uma senha, ela será fraca.
• Existem variações quase infinitas, é claro, mas acho útil executar os ataques mais rápidos primeiro, para que, em senhas salgadas por usuário, os ataques mais caros sejam usados contra o menor número possível de hashes
  • ou seja. execute um ataque 1E8 primeiro e remova todos os hashes que encontrar na lista. Então faça seu ataque 3E8, remova-o e suba, para não tentar um ataque de 1E14 em uma senha que poderia ter sido removida com ordens de magnitude a menos de trabalho.

I was wondering whether JtR is a good solution to test password strength. I'm not interested in actually finding the passwords (I'd rather not in fact)

John the Ripper é uma boa ferramenta, mas nem sempre é a melhor ferramenta.

Atualmente, para muitos hashes, o oclHashcat é a melhor ferramenta gratuita que conheço, e o opção para esconder as senhas encontradas é uma combinação de

• - disable-potfile
• - outfile-format = NUM
  • 1 = hash [: sal]

i.e. adicione à sua linha de comando

   --outfile-format=1 --disable-potfile

Eu costumo puxar o arquivo de resultado

No lado pago, a Elcomsoft tem uma grande variedade de ferramentas disponíveis; Para citar um exemplo, o Auditor de senhas proativas , pelo menos, tem a opção de ocultar as senhas encontradas .

Em ambos os casos, oriente pelo menos uma GPU de qualquer tipo para o software que você escolher.

Em qualquer caso, aprenda os vários modos - puro modo de Markov / força bruta para conjuntos de caracteres limitados (incluindo alguns conjuntos de keywalking) e, em seguida, gradue-se rapidamente em ataques de dicionário baseados em regras. Faça dicionários incluindo palavras comuns em sua empresa, números de telefone, endereços, lista de telefones, etc. e adicione isso a dicionários comuns como listas de palavras online Scrabble, phpbb, insidepro, rockyou, crackstation, clearmoon247 ou myslowtech.

Se você precisa de um dicionário com uma licença clara, embora não seja bom para crackear, o inglês A licença do Open Word List é:

UK Advanced Cryptics Dictionary Licensing Information:

Copyright © J Ross Beresford 1993-1999. All Rights Reserved. The following restriction is placed on the use of this publication: if the UK Advanced Cryptics Dictionary is used in a software package or redistributed in any form, the copyright notice must be prominently displayed and the text of this document must be included verbatim.

There are no other restrictions: I would like to see the list distributed as widely as possible.

Eu pensaria em iterar usando força bruta sobre uma lista / banco de dados de usuários quebrando cada uma de suas senhas seria um grande desperdício e demoraria muito tempo.

Considere que você não sabe muito sobre as senhas, portanto, não sabe se há letras maiúsculas, minúsculas, tamanho da senha ou caracteres especiais.

Então, dentro do JTR, você terá que especificar um conjunto de caracteres enorme para funcionar e isso pode levar (mesmo em um servidor rápido) vários dias, semanas ou mais para quebrar cada senha.

Há também problemas de confiança do usuário em torno de enviá-los por e-mail para que eles saibam que você descobriu sua senha e a considera fraca.

É melhor apenas aplicar os requisitos de força mínima ao criar a senha.