Come verificare in sicurezza le password utilizzando John the Ripper

4

Quando i miei clienti creano una password, vengono mostrati un misuratore di forza e ho impostato i requisiti abbastanza alti. Tuttavia, il misuratore di forza è essenzialmente utile solo se viene attaccato da un violentatore di forza bruta molto stupido. So per certo che è possibile creare password più facili da decifrare con software come John the Ripper. Ad esempio, è abbastanza facile assicurarsi che le persone non stiano creando password come "password1", ma ho bisogno di prendere termini comuni non di dizionario come "NCC-1701-D" (il numero di registro di Star Trek Enterprise) e altre cose i cracker di solito controllano ("qwerty," asdf ", ecc.) Sono a conoscenza del fatto che i programmi di cracking migliorano dato che hanno accesso a password più screpolate (grazie a LinkedIn, Evernote, LivingSocial ...) perché il cracker è in grado di inizia con le password più comuni e cerca anche i "frammenti di parole" comuni all'interno delle password e aggiungili al dizionario ...

Quindi, come posso accedere ad alcune di queste configurazioni avanzate di John the Ripper: so che il programma stesso è gratuito da installare, ma come faccio a ottenere questi dizionari avanzati avanzati? Inoltre, quali sono le implicazioni per la sicurezza di hackerare i miei account? Non riesco a pensare a come questo possa davvero essere problematico, a meno che non memorizzi le parole in chiaro in chiaro o qualcosa del genere. Mi mancano alcuni ovvi problemi che questo introdurrebbe?

EDIT: Sto pensando di generare il mio tavolo arcobaleno per il mio sale * e quindi di caricare l'elenco degli hash. Quindi se l'hash salato di un utente corrisponde a uno della tabella arcobaleno, sono costretti a creare una nuova password al loro prossimo accesso (o meglio ancora, viene confrontato con la tabella arcobaleno quando lo creano e viene rifiutata se c'è un combaciano, anche se non sono sicuro che questo potrebbe essere troppo dispendioso dal punto di vista computazionale.)

* D'oh! Come sottolineato di seguito, non è così che funziona la salatura. C'è un modo fattibile per controllare le password contro una "lista nera delle password" senza esporre la password nel processo?

    
posta brentonstrine 28.04.2013 - 20:51
fonte

1 risposta

9

Non disturbarti! Invece di preoccuparti di quanto siano sicure le tue password utente, posso suggerirti invece di assicurarti che siano sicure come possono essere una volta che hanno scelto una lunghezza e una complessità minime sufficienti?

I am thinking of generating my own rainbow table for my salt and then uploading the list of hashes.

Hai appena rivelato che non stai nemmeno salendo le password in alcun modo efficace. Un singolo valore di sale non univoco non deve essere utilizzato su più di un hash di password! Punto. Inutile dire che ciò che hai scritto chiaramente indica che stai usando un unico padding a livello di database in un posto dove dovrebbe essere salt . Invece di calcolare quanto sarebbe difficile attaccare gli hash delle password con uno strumento come John The Ripper (JtR), dovresti piuttosto rendere questi tipi di attacchi quasi impossibili su qualsiasi password utilizzata che corrisponda ad una lunghezza e / o complessità minima richieste.

Ora farò riferimento a questa risposta: Come password di hash sicure? . Non c'è bisogno che io scriva di nuovo tutto allora, credo. Leggilo, comprendilo, adora il suo autore, perché una volta che realizzi la saggezza che detiene, dormirai con una mente riposata e non penserai mai più a JtR!

    
risposta data 29.04.2013 - 04:21
fonte

Leggi altre domande sui tag