Iklan
Apakah kata sandi Anda aman? Kami semua telah mendengar banyak saran tentang jenis kata sandi yang tidak boleh Anda pilih - dan ada berbagai alat yang mengklaimnya nilai keamanan kata sandi Anda secara online Masukkan Kata Sandi Anda Melalui Uji Retak Dengan Lima Alat Kekuatan Kata Sandi IniKita semua telah membaca bagian yang adil dari pertanyaan 'bagaimana cara memecahkan kata sandi'. Aman untuk mengatakan bahwa kebanyakan dari mereka adalah untuk tujuan jahat dan bukan ingin tahu. Melanggar kata sandi ... Baca lebih banyak . Namun, ini hanya bisa secara akurat diragukan. Satu-satunya cara untuk benar-benar menguji keamanan kata sandi Anda adalah dengan mencoba memecahkannya.
Jadi hari ini, kita akan melakukan hal itu. Saya akan menunjukkan kepada Anda cara menggunakan alat yang digunakan peretas nyata untuk memecahkan kata sandi, dan menunjukkan kepada Anda cara menggunakannya untuk memeriksa milik Anda. Dan, jika gagal dalam tes, saya akan menunjukkan kepada Anda bagaimana memilih kata sandi yang lebih aman itu akan tahan.
Menyiapkan Hashcat
Alat yang akan kita gunakan disebut Hashcat. Secara resmi, ini dimaksudkan untuk pemulihan kata sandi 6 Alat Pemulihan Kata Sandi Gratis untuk Windows Baca lebih banyak , tetapi dalam praktiknya ini sedikit seperti mengatakan BitTorrent Kalahkan Bloat! Coba Klien BitTorrent Ringan iniSenjata tidak membagikan file ilegal. Orang berbagi file ilegal. Atau, tunggu, bagaimana hasilnya? Yang ingin saya katakan adalah, BitTorrent tidak boleh dibenci berdasarkan potensinya untuk pembajakan. Baca lebih banyak dimaksudkan untuk mengunduh file yang tidak berhak cipta. Dalam praktiknya, ini sering digunakan oleh peretas yang mencoba memecahkan kata sandi dicuri dari server tidak aman Kebocoran Ashley Madison Bukan Masalah Besar? Pikirkan lagiSitus kencan online diam-diam Ashley Madison (yang ditargetkan terutama untuk pasangan yang selingkuh) telah diretas. Namun ini adalah masalah yang jauh lebih serius daripada yang digambarkan di media, dengan implikasi yang cukup besar bagi keselamatan pengguna. Baca lebih banyak . Sebagai efek samping, ini membuatnya menjadi cara yang sangat kuat untuk menguji keamanan kata sandi.
Catatan: tutorial ini untuk Windows. Anda yang berada di Linux dapat melihat video di bawah ini untuk mengetahui ide memulai.
Anda bisa mendapatkan Hashcat dari menu hashcat.net halaman web. Unduh dan unzip ke folder unduhan Anda. Selanjutnya, kita perlu mendapatkan beberapa data tambahan untuk alat ini. Kami akan memperoleh daftar kata, yang pada dasarnya merupakan basis data kata sandi besar yang dapat digunakan alat ini sebagai titik awal, khususnya rockyou.txt Himpunan data. Unduh, dan tempel di folder Hashcat. Pastikan itu bernama 'rockyou.txt'
Sekarang kita akan membutuhkan cara untuk menghasilkan hash. Kami akan menggunakan WinMD5, yang merupakan alat freeware ringan yang hash file tertentu. Unduh, unzip, dan masukkan ke direktori Hashcat. Kami akan membuat dua file teks baru: hashes.txt, dan password.txt. Letakkan keduanya di direktori Hashcat.
Itu dia! Kamu sudah selesai.
Sejarah Perang Peretas Rakyat
Sebelum kita benar-benar menggunakan aplikasi ini, mari kita bicara sedikit tentang bagaimana kata sandi benar-benar rusak, dan bagaimana kita sampai pada titik ini.
Jauh di belakang dalam sejarah ilmu komputer yang berkabut, itu adalah praktik standar bagi situs web untuk menyimpan kata sandi pengguna dalam teks biasa. Ini sepertinya masuk akal. Anda perlu memverifikasi bahwa pengguna mengirim kata sandi yang benar. Cara yang jelas untuk melakukan itu adalah menyimpan salinan kata sandi di file kecil di suatu tempat, dan memeriksa kata sandi yang dikirimkan pengguna terhadap daftar. Mudah.
Ini adalah bencana besar. Peretas akan mendapatkan akses ke server melalui beberapa taktik licik (seperti tanya dengan sopan), mencuri daftar kata sandi, masuk, dan mencuri uang semua orang. Ketika peneliti keamanan mengangkat diri dari rongsokan merokok akibat bencana itu, jelas bahwa kami perlu melakukan sesuatu yang berbeda. Solusinya hashing.
Bagi yang belum terbiasa, a fungsi hash Apa Semua Ini MD5 Hash Stuff Sebenarnya Berarti [Teknologi Dijelaskan]Berikut ini adalah daftar lengkap MD5, hashing dan gambaran kecil komputer dan kriptografi. Baca lebih banyak adalah sepotong kode yang mengambil sepotong informasi dan mengacaknya secara matematis menjadi sepotong omong kosong yang panjangnya tetap. Ini disebut 'hashing' data. Apa yang keren tentang mereka adalah bahwa mereka hanya berjalan satu arah. Sangat mudah untuk mengambil informasi dan mencari tahu hash yang unik. Sangat sulit untuk mengambil hash dan menemukan sepotong informasi yang menghasilkannya. Bahkan, jika Anda menggunakan kata sandi acak, Anda harus mencoba setiap kombinasi yang mungkin untuk melakukannya, yang kurang lebih mustahil.
Anda yang mengikuti di rumah mungkin memperhatikan bahwa hash memiliki beberapa properti yang sangat berguna untuk aplikasi kata sandi. Sekarang, alih-alih menyimpan kata sandi, Anda dapat menyimpan hash kata sandi. Ketika Anda ingin memverifikasi kata sandi, Anda hash, hapus yang asli, dan periksa dengan daftar hash. Fungsi Hash semuanya memberikan hasil yang sama, sehingga Anda masih dapat memverifikasi mereka mengirimkan kata sandi yang benar. Yang terpenting, kata sandi plaintext yang sebenarnya tidak pernah disimpan di server. Jadi, ketika peretas melanggar server, mereka tidak dapat mencuri kata sandi apa pun - hanya hash yang tidak berguna. Ini bekerja dengan cukup baik.
Tanggapan peretas terhadap ini adalah menghabiskan banyak waktu dan energi untuk menghasilkan cara yang sangat pintar untuk membalik hash Ophcrack - Alat Peretas Kata Sandi untuk Memecah Hampir Semua Kata Sandi WindowsAda banyak alasan berbeda mengapa seseorang ingin menggunakan sejumlah alat peretas kata sandi untuk meretas kata sandi Windows. Baca lebih banyak .
Cara Kerja Hashcat
Kita dapat menggunakan beberapa strategi untuk ini. Salah satu yang paling kuat adalah yang digunakan Hashcat, yaitu untuk memperhatikan bahwa pengguna tidak terlalu imajinatif dan cenderung memilih jenis kata sandi yang sama.
Misalnya, sebagian besar kata sandi terdiri dari satu atau dua kata bahasa Inggris, beberapa angka, dan mungkin beberapa penggantian huruf "leet-speak" atau huruf besar acak. Dari kata-kata yang dipilih, beberapa lebih mungkin daripada yang lain: ‘kata sandi,’ nama layanan, nama pengguna Anda, dan ‘halo’ semuanya populer. Ditto nama hewan peliharaan yang populer, dan tahun ini.
Mengetahui hal ini, Anda dapat mulai membuat tebakan yang sangat masuk akal tentang apa yang mungkin dipilih pengguna berbeda, yang seharusnya (pada akhirnya) memungkinkan Anda menebak dengan benar, memecah hash, dan mendapatkan akses ke login mereka kredensial. Ini terdengar seperti strategi tanpa harapan, tetapi ingat bahwa komputer sangat cepat. Komputer modern dapat mencoba jutaan tebakan per detik.
Inilah yang akan kita lakukan hari ini. Kami akan berpura-pura bahwa kata sandi Anda ada dalam daftar hash di tangan peretas jahat, dan menjalankan alat perusak hash yang sama dengan yang digunakan peretas. Anggap saja sebagai latihan darurat untuk keamanan online Anda. Mari kita lihat bagaimana kelanjutannya!
Cara Menggunakan Hashcat
Pertama, kita perlu membuat hash. Buka WinMD5, dan file ‘password.txt’ Anda (dalam notepad). Masukkan salah satu kata sandi Anda (hanya satu). Simpan file. Buka menggunakan WinMD5. Anda akan melihat kotak kecil berisi hash file. Salin itu ke file ‘hashes.txt’ Anda, dan simpan. Ulangi ini, tambahkan setiap file ke baris baru di file ‘hashes.txt’, hingga Anda mendapatkan hash untuk setiap kata sandi yang Anda gunakan secara rutin. Kemudian, hanya untuk bersenang-senang, masukkan hash untuk kata ‘kata sandi’ sebagai baris terakhir.
Perlu dicatat di sini bahwa MD5 bukan format yang sangat baik untuk menyimpan hash kata sandi - ini cukup cepat untuk dikomputasi, membuat kekerasan memaksa lebih layak. Karena kami melakukan pengujian yang merusak, ini sebenarnya merupakan nilai tambah bagi kami. Dalam kebocoran kata sandi asli, kata sandi kami akan di-hash dengan Scrypt atau fungsi hash aman lainnya, yang lebih lambat untuk diuji. Dengan menggunakan MD5, kita pada dasarnya dapat mensimulasikan membuang lebih banyak kekuatan pemrosesan dan waktu pada masalah daripada yang sebenarnya kita miliki.
Selanjutnya, pastikan file ‘hashes.txt’ telah disimpan, dan buka Windows PowerShell. Arahkan ke folder Hashcat (cd .. naik tingkat, ls daftar file saat ini, dan cd [nama file] memasuki folder di direktori saat ini). Sekarang ketik ./hashcat-cli32.exe –hash-type = 0 –attack-mode = 8 hashes.txt rockyou.txt.
Perintah itu pada dasarnya mengatakan "Jalankan aplikasi Hashcat. Atur untuk bekerja pada hash MD5, dan gunakan serangan "mode pangeran" (yang menggunakan berbagai strategi berbeda untuk membuat variasi pada kata-kata dalam daftar). Cobalah untuk memecah entri dalam file ‘hashes.txt’, dan gunakan file ‘rockyou.txt’ sebagai kamus.
Tekan enter, dan terima EULA (yang pada dasarnya mengatakan "Aku bersumpah aku tidak akan meretas apa pun dengan ini"), dan kemudian biarkan berjalan. Hash untuk kata sandi akan muncul dalam satu atau dua detik. Setelah itu, tinggal menunggu saja. Kata sandi yang lemah akan muncul dalam hitungan menit dengan CPU modern yang cepat. Kata sandi normal akan muncul dalam beberapa jam hingga satu atau dua hari. Kata sandi yang kuat bisa memakan waktu sangat lama. Salah satu kata sandi lama saya rusak dalam waktu kurang dari sepuluh menit.
Anda bisa membiarkannya berjalan selama Anda mau. Saya sarankan setidaknya semalam, atau di PC Anda saat Anda sedang bekerja. Jika Anda membuatnya 24 jam, kata sandi Anda mungkin cukup kuat untuk sebagian besar aplikasi - meskipun ini bukan jaminan. Peretas mungkin bersedia menjalankan serangan ini untuk waktu yang lama, atau memiliki akses ke daftar kata yang lebih baik. Jika ragu dengan keamanan kata sandi Anda, dapatkan yang lebih baik.
Kata Sandi Saya Rusak: Sekarang Apa?
Kemungkinan besar, beberapa kata sandi Anda tidak bertahan. Jadi bagaimana Anda bisa menghasilkan kata sandi yang kuat untuk menggantinya? Ternyata, teknik yang sangat kuat (dipopulerkan oleh xkcd) adalah pass-phrases. Buka buku terdekat, balik ke halaman acak, dan letakkan jari Anda di atas halaman. Ambil kata benda, kata kerja, kata sifat, atau kata keterangan terdekat, dan ingatlah. Ketika Anda memiliki empat atau lima, bubuhkan bersama-sama tanpa spasi, angka, atau huruf besar. JANGAN gunakan "correcthorsebatterystaple". Sayangnya itu menjadi populer sebagai kata sandi, dan termasuk dalam banyak daftar kata.
Salah satu contoh kata sandi yang baru saja saya hasilkan dari antologi fiksi ilmiah yang duduk di meja kopi saya adalah "leanedsomeartisansharmingdarling" (jangan gunakan yang ini juga). Ini jauh lebih mudah diingat daripada serangkaian huruf dan angka yang sewenang-wenang, dan mungkin lebih aman. Penutur asli bahasa Inggris memiliki kosakata yang berfungsi sekitar 20.000 kata. Akibatnya, untuk urutan lima kata umum yang dipilih secara acak, ada 20.000 ^ 5, atau sekitar tiga sextillion kombinasi yang memungkinkan. Ini jauh di luar jangkauan serangan brute force saat ini.
Sebaliknya, kata sandi delapan karakter yang dipilih secara acak akan disintesis dari segi karakter, dengan sekitar 80 kemungkinan termasuk huruf besar, huruf kecil, angka, karakter, dan spasi. 80 ^ 8 hanya kuadriliun. Itu masih terdengar besar, tetapi memecahnya sebenarnya berada dalam bidang kemungkinan. Diberikan sepuluh komputer desktop kelas atas (masing-masing dapat melakukan sekitar sepuluh juta hash per detik), itu bisa menjadi kasar dalam beberapa bulan - dan keamanan benar-benar berantakan jika sebenarnya tidak acak. Itu juga jauh lebih sulit untuk diingat.
Opsi lain adalah menggunakan pengelola kata sandi, yang dapat menghasilkan kata sandi aman untuk Anda dengan cepat, yang semuanya dapat 'dibuka kuncinya' menggunakan satu kata sandi utama. Anda masih harus memilih kata sandi master yang sangat bagus (dan jika Anda lupa, Anda dalam masalah) - tetapi jika hash kata sandi Anda bocor dalam pelanggaran situs web, Anda memiliki lapisan keamanan ekstra yang kuat.
Kewaspadaan yang Konstan
Keamanan kata sandi yang baik tidak terlalu sulit, tetapi mengharuskan Anda untuk mengetahui masalah ini, dan mengambil langkah-langkah untuk tetap aman. Pengujian destruktif semacam ini bisa menjadi panggilan bangun yang baik. Satu hal yang perlu diketahui, secara intelektual, kata sandi Anda mungkin tidak aman. Merupakan hal lain untuk melihatnya keluar dari Hashcat setelah beberapa menit.
Bagaimana kata sandi Anda bertahan? Beri tahu kami di komentar!
Seorang penulis dan jurnalis yang berbasis di Barat Daya, Andre dijamin tetap fungsional hingga 50 derajat Celcius, dan tahan air hingga kedalaman dua belas kaki.