Quando i miei clienti creano una password, vengono mostrati un misuratore di forza e ho impostato i requisiti abbastanza alti. Tuttavia, il misuratore di forza è essenzialmente utile solo se viene attaccato da un violentatore di forza bruta molto stupido. So per certo che è possibile creare password più facili da decifrare con software come John the Ripper. Ad esempio, è abbastanza facile assicurarsi che le persone non stiano creando password come "password1", ma ho bisogno di prendere termini comuni non di dizionario come "NCC-1701-D" (il numero di registro di Star Trek Enterprise) e altre cose i cracker di solito controllano ("qwerty," asdf ", ecc.) Sono a conoscenza del fatto che i programmi di cracking migliorano dato che hanno accesso a password più screpolate (grazie a LinkedIn, Evernote, LivingSocial ...) perché il cracker è in grado di inizia con le password più comuni e cerca anche i "frammenti di parole" comuni all'interno delle password e aggiungili al dizionario ...
Quindi, come posso accedere ad alcune di queste configurazioni avanzate di John the Ripper: so che il programma stesso è gratuito da installare, ma come faccio a ottenere questi dizionari avanzati avanzati? Inoltre, quali sono le implicazioni per la sicurezza di hackerare i miei account? Non riesco a pensare a come questo possa davvero essere problematico, a meno che non memorizzi le parole in chiaro in chiaro o qualcosa del genere. Mi mancano alcuni ovvi problemi che questo introdurrebbe?
EDIT: Sto pensando di generare il mio tavolo arcobaleno per il mio sale * e quindi di caricare l'elenco degli hash. Quindi se l'hash salato di un utente corrisponde a uno della tabella arcobaleno, sono costretti a creare una nuova password al loro prossimo accesso (o meglio ancora, viene confrontato con la tabella arcobaleno quando lo creano e viene rifiutata se c'è un combaciano, anche se non sono sicuro che questo potrebbe essere troppo dispendioso dal punto di vista computazionale.)
* D'oh! Come sottolineato di seguito, non è così che funziona la salatura. C'è un modo fattibile per controllare le password contro una "lista nera delle password" senza esporre la password nel processo?