LINUX.ORG.RU

hashcat v6.0.0

 ,


0

1

В релизе 6.0.0 программы hashcat для подбора паролей по более чем 320 типам хешей (с использованием возможностей видеокарт) разработчик представил множество улучшений:

  • Новый интерфейс для плагинов с поддержкой модульных hash-режимов.
  • Новый интерфейс API, поддерживающий API, отличные от OpenCL.
  • Поддержка CUDA.
  • Подробная документация для разработчиков плагинов.
  • Режим эмуляции GPU — для запуска кода ядра на процессоре (вместо видеокарты).
  • Оптимизация поточности и обращений к видеопамяти.
  • Улучшение автоматической настройки (на основе оценки имеющихся ресурсов).
  • 51 новый тип хешей для перебора, в т.ч. Android Backup, BitLocker, PKZIP, QNX (shadow), SecureZIP, Telegram.
  • Улучшение производительности по старым хешам, в т.ч. MD5: 8.05%, NTLM: 13.70%, WPA/WPA2: 13.35%, SHA256: 8.77%, SHA512: 20.33%, WinZip: 119.43%.

>>> Подробности

★★★★★

Проверено: cetjs2 ()
Последнее исправление: cetjs2 (всего исправлений: 7)

Ответ на: комментарий от anonymous

А если ты таки имеешь дело с Моссадом, то тебе уже ничто не поможет и менять пароли бесполезно

Полезно использовать «постквантовые» алгоритмы, такие как подпись Меркла(на криптографических хэш-функциях) или модифицированная версии асимметричного алгоритма McEliece.

А если совсем параноить — шифр Вернама, достаточно тебе и твоему собеседнику купить внешний НЖМД этак на 4-8ТБ, достать старое и неиспользуемое железо(конца нулевых\начала десятых) и поставить его «фармить» jitterentropy. На один такой диск уйдёт дней 10-20. Потом пойти с другом кофе попить, а в кофейне обменяться дисками. Всё.

Ни «квантовый суперкомпьютер»(что? Квантовые компьютеры хороши только для очень немногих вычислений, в остальном они нервно курят на фоне «обычных», да и сложность квантовых компьютеров, равно как и «шумность» кубитов, с ростом числа этих самых кубитов растёт далеко не линейно, что заставляет сомневаться в реалистичности создания действительно сложных компьютеров по крайней мере в этом веке), ни Сфера Дайсона, ни триллионы таких сфер по всей вселенной, ни вся энергия вселенной не помогут взломать такой шифр. Эффективность взлома такого шифра будет равна как при использовании бесконечных мощностей, так и при использовании карандаша и бумаги, то есть будет равна нулю.

Поможет машина времени, используя которую враг переместится в ту самую кофейню и подменит ваши диски на свои. Ну это уже совсем ненаучная фантастика.

На деле я бы посмотрел уже хотя бы на то, как Моссад^АНБ^Моссад справится с той же подписью Меркла.

SM5T001
()
Ответ на: комментарий от anonymous

Старый добрый паяльник расшифровывает пароли любой сложности за несколько минут.

Правда? А я вот недавно звонил в АНБ, просил восстановить мне мои пароли, которые я хранил на внешнем диске, который попал под поезд. На той конце линии мне вежливо сказали: «Ti are your own evil Buratino», после чего бросили трубку. Так и не перезвонили пока.

А если серьёзно: PFS, ныне уже широко распространённый, не поддаётся паяльному криптоанализу. Не поддаётся ему и правдоподобно отрицаемое шифрование.

SM5T001
()
Ответ на: комментарий от anonymous

Ну т.е. по словарю он будет искать не просто «пароль из семнадцати букв», а «пароль из такой комбинации английских или русских слов, чтобы они, записанные без пробела, были семнадцать букв длинной».

Почему 17? Откуда хакер знает длину пароля? При целевой атаке надо заботиться не только о пароле.

Как, кстати, быть с diceware?

Недоверие к компьютерному рандому? Ну нормально, при собственном словаре и разбавлении готового пароля случайными символами, как в моём примере.

Там мало того, что набор слов меньше, чем в английском, так ещё и готовые словари прямо с сайта EFF можно скачать.

Дичь какая-то. По описанию diceware предполагает реальную кость, зачем кто-то писал софт - не понятно.

два и больше случайных слова забрутфорсить можно разве что случайно

Чем обосновано столь глупое утверждение? Словарей хоть жопой жуй, в том числе оффлайновых. Из них берутся слова, переводятся в транслит и складываются в комбинации. Это задача на один вечер максимум. Хотя и так уже редко делают, их просто скачивают готовые. Вариантов там несоизмеримо меньше, чем при полном переборе. Это стандартная практика: прогнать словарь часто встречающихся паролей, затем комбинации из слов, затем перебор символов (редко больше 6).

InterVi ★★★★★
()
Последнее исправление: InterVi (всего исправлений: 2)
Ответ на: комментарий от SM5T001

Именно поэтому надо знать свои пароли, чтобы не затягивать терморектальный криптоанализ, а лучше сразу выдавать их, только увидев паяльник.

evgeny_aa ★★☆
()

Надеюсь, мой пароль достаточно сложный: EeNaizae5voh1phebi7veimii. На одном сайте вбил свой пароль, мне там сказали, что пароль суперский, но i на конце нужно заменить на I, чтобы количество итераций значительно увеличилось. Поменял, и вроде бы всё работает. Ещё никто не хакнул.

UbuntUser
()
Ответ на: комментарий от xaizek

На применение эвристик и их проверки по словарю тоже нужно время и немалое.

anonymous
()

А вдруг на ЛОРе реально хакеры? Придут на ЛОР, достанут базу данных и взломают!

zagatov_lev
()
Ответ на: комментарий от InterVi

Дичь какая-то. По описанию diceware предполагает реальную кость, зачем кто-то писал софт - не понятно.

Ты сейчас с кем разговариваешь? Меня тут убеждают, что нахождение пароля «trifioletovikhkovsha» - это тривиальная задача на один вечер, ведь все слова в составе этого пароля простые и 100% есть в словарях. Нужно просто написать программку, которая будет их в транслит переводить. Я же спрашиваю, зачем тогда EFF советует пользоваться diceware, ведь пароли, полученные этим методом будут совсем ненадёжны - словари diceware совсем короткие (по сравнению со словарями живых языков) и выложены прямо в общем доступе. Хакер легко подберёт пароль по такому словарю.

Чем обосновано столь глупое утверждение?

Я не знаю, чем вы его обосновываете. Перебор по словарю - это когда берётся готовый словарь и слова оттуда подставляются в окно ввода пароля. Слова «trifioletovikhkovsha» нет ни в одном словаре. Если под «перебором по словарю» понимать ещё и произвольное склеивание словарных слов друг с другом, то я не понимаю, чем это лучше прямого перебора всех комбинаций всех букв.

anonymous
()
Ответ на: комментарий от SM5T001

Это так называемая «радужная таблица», которая не работает при использовании уникальной соли.

Нет. Так называемая «радужная таблица» - это когда у хакера есть хэш моего пароля и он ищет этот пароль в радужной таблице. Я, хоть и коряво, описывал именно перебор по словарю. Когда хакер берёт словарь и последовательно перебирает слова оттуда, в надежде, что одно из них подойдёт. И мне тут рассказывают, что «слова» типа «trifioletovikhkovsha» есть «в каждом словаре». Видимо, сразу после love, sex, Secret и god.

Ложь. И длина, и разнообразие символов помогают неплохо увеличить энтропию. Банально используя не только строчные, но и заглавные буквы, мы удваиваем число доступных символов.

Для начала пойди, почитай про эту историю. Потом приходи, будешь извинятся за то, что назвал меня лжецом. В том же материале ты узнаешь, что «прекрасные, сложные пароли» типа xdFO4c"wxL*VYtp!wjGhbwm никто никода не будет запоминать и их просто запишут на бумажку и положат под клавиатуру. Поэтому требовать от юзеров придумывать такие пароли не идёт на пользу информационной безопасности. Пусть лучше используют длинные пароли, которые можно запомнить.

Отлично. Теперь оба пароля можно взломать чрезвычайно быстро.

Ты - один из тех, кто считает, что haveibeenpwned собирает пароли?

anonymous
()
Ответ на: комментарий от anonymous

Я, хоть и коряво, описывал именно перебор по словарю

Ты коряво описывал именно радужную таблицу. «Хакеру» не нужен хэш твоего пароля для перебора, ему нужен только(и только!) словарь, а куда вбивать из него последовательности уже не важно, хоть в печатную машинку. И соль от этого не поможет, ты понимаешь это, или нет?

И мне тут рассказывают, что «слова» типа «trifioletovikhkovsha» есть «в каждом словаре».

Ну вот и говори с теми, кто такое рассказывает. В моих словарях такого нет, например.

Для начала пойди, почитай про эту историю.

Не очень хочется читать какие-то там россказни, когда есть чёткая наука информатика и математика. В этом между нами разница, капишь? Про то, как «где-то кого-то пытают» без пруфов я почитать могу разве что ради развлечения.

Потом приходи, будешь извинятся за то, что назвал меня лжецом. В том же материале ты узнаешь, что «прекрасные, сложные пароли» типа xdFO4c"wxL*VYtp!wjGhbwm никто никода не будет запоминать и их просто запишут на бумажку и положат под клавиатуру.

Ты только что сам подтвердил, что являешься лжецом, ибо я такой «прекрасный сложный пароль» не только легко могу запомнить, но и ни разу подобные пароли не записывал на бумажку и не клал под клавиатуру.

никто никода не будет запоминать
никогда

Ну а я вот запоминал, значит не никогда, значит ты — лжец. Извиняйся за ложь, это тебе не языком болтать.

Поэтому требовать от юзеров придумывать такие пароли не идёт на пользу информационной безопасности.

И правда, пусть ломают по словарю на лету, зачем пытаться этому помешать? Или придумай пойди, как условному Васе объяснить, мол «ну типо это, ты там попробуй несколько слов транслитом запиши шоб по словарю не шло и запомнить было легко, можешь там ещё цифры и символы всякие добавить».

А точно так, как это, внезапно, делается уже сегодня.

Пусть лучше используют длинные пароли, которые можно запомнить.

Длинные пароли никто вроде не запрещал. Вот у меня на этом сайте пароль 100 символов, например.

Ты - один из тех, кто считает, что haveibeenpwned собирает пароли?

Не знал, что haveibeenpwned сменил название и адрес и стал «How Well Hidden is Your Needle?» Или у тебя уже утечка памяти случилась и ты забыл, что скидывал вот этот адрес: http://grc.com/haystack.htm ?

«Это тебе не языком болтать. Это тебе, Вася, за свои слова отвечать.»

SM5T001
()
Последнее исправление: SM5T001 (всего исправлений: 3)
Ответ на: комментарий от anonymous

нахождение пароля «trifioletovikhkovsha» - это тривиальная задача на один вечер

Зависит от располагаемых ресурсов. Для скрипт кидди с дохлым ноутом может и не тривиальная, а если это заказуха хакеру с парком мощных машин?

слова в составе этого пароля простые

«три», «фиолетовых», «ковша» - сильно не простые слова? Какие же тогда простые?

и 100% есть в словарях

Составление такого словаря - самое первое, что приходит на ум, чтобы сократить прямой перебор. Даже если этой задачей займётся новичок.

Нужно просто написать программку, которая будет их в транслит переводить

ну вообще-то да, так оно и делается

зачем тогда EFF советует

это надо спрашивать у EFF

словари diceware

Если юзверь скачивает готовые словари - это его личная проблема. Тем более, что они были опубликованы для примера, о чём сказано прямым текстом на википедии.

Перебор по словарю - это когда берётся готовый словарь

Не готовый, а заранее сгенерированный и не один. Со временем накапливается коллекция.

и слова оттуда подставляются в окно ввода пароля

Не всегда. Можно, например, заиметь хэш и брутить его. Ну сайты брутят именно так, да. В расчёте на пароли типа qwerty и на те, что утекли из разных источников. А утекают они как правило вместе с почтой, так что боты просто перебирают пары логин-пароль на сайтах.

Слова «trifioletovikhkovsha» нет ни в одном словаре

Публичном словаре, с первой страницы гугла? Повторюсь, написать генератор словаря склеек - быстро, а для опытного кодера очень быстро, быстрее, чем листать гугл до последней страницы.

я не понимаю, чем это лучше прямого перебора всех комбинаций всех букв

Уменьшение количества вариантов на порядки. Это же простая математика - комбинаций слов меньше, чем комбинаций всех букв той же длины.

InterVi ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.