C'è un modo semplice per registrare quanto tempo ci vuole da John the Ripper per rompere le password?

Naviga le tue risposte
0

Stiamo eseguendo un controllo della password caricando il file della password in John e lasciandolo funzionare per un paio di giorni.

Una delle prime domande che ho ricevuto nella classe di rimedio è stata "Quanto tempo è occorso per decifrare la mia password?" Secondo un calcolatore di password usato da un tizio, la sua password avrebbe dovuto impiegare più di un secolo per incrinarsi, ma John lo ha indovinato relativamente presto.

Ora, il mio manager mi sta chiedendo di registrare quanto tempo ci vuole per ciascuna password nel prossimo round di auditing, ma lo lascerò correre quando non sono qui per osservare e registrare.

Qualche suggerimento su come registrare l'ora? Lo sto facendo su un cluster Kali Linux.

    
posta Eryn Kaeberle 15.12.2017 - 17:51
fonte

3 risposte

3

John the Ripper registra la sua attività su stdout. Se si nota che è stata violata una password, è possibile interrompere la sessione con un Ctrl-C.

Il file di registro .john/john.log prenderà nota degli account che sono stati violati, con un timestamp. Evidenzia quello per 'Cracked' per aumentarli.

    
risposta data 15.12.2017 - 23:00
fonte
0

Per quanto riguarda i calcolatori di password, consulta qui: link

Now, my manager is asking me to record how long it takes for each password on the next audit round

Questo è completamente inutile. Dipende interamente dall'approccio utilizzato. Con un attacco di dizionario usi spesso una lista di password in ordine alfabetico - il che significa che la password "zzz" sarebbe una delle ultime password che hai raggiunto (quindi più lunga) mentre la password "aaalojryd" se presente sarebbe una delle prime.

Se si utilizza una forza bruta ascendente, "mypassword1" richiederebbe molto più tempo di una password di 9 caratteri completamente casuale.

È anche dipendente dall'hardware in modo massiccio.

Any suggestions on a way to record the time?

Se tu (o il tuo manager) insistete per farlo, suggerirei che un buon approccio sarebbe da stimare. Puoi capire come il software sta selezionando le frasi per cercare di capire fino a che punto ci vuole per arrivare alla frase trovata. Quindi confrontando questo con il tempo di esecuzione totale dovresti essere in grado di fare una stima ragionevole.

    
risposta data 15.12.2017 - 18:24
fonte
0

Fai attenzione, specialmente se il tuo utente è importante. Stanno cercando di creare una trappola per te, al fine di deviare la colpa per la loro mancanza di preoccupazione per la sicurezza.

Hai scoperto la loro password. Fornisci semplicemente ai tuoi clienti e al tuo team di sicurezza quel fatto. "Ho eseguito un cracker di password ampiamente disponibile e la tua password è stata una di quelle che è stata facilmente recuperata."

Non lasciarli scappare con "ma ti ci sono voluti due giorni" tipo di cose. Si tratta della scusa più debole possibile; soprattutto dal momento che molti aggressori si nascondono all'interno di reti violate per un mese o più prima di esfiltrare i loro dati.

    
risposta data 15.12.2017 - 22:50
fonte

Leggi altre domande sui tag

Utilizzo di parti non crittografate del file crittografato per recuperare la password (7zip) Come modificare un codice esadecimale senza corrompere il file [in bypass di av]?