Мне было интересно, является ли JtR хорошим решением для проверки надежности пароля. Меня не интересует фактический поиск паролей (я бы предпочел не на самом деле), я бы хотел запустить JtR таким образом, чтобы я мог сказать: «Пользователь A, я думаю, вам следует выбрать лучший пароль, он действительно довольно слабый; пользователь B, ваш пароль приличный, но его можно немного улучшить; пользователь C, молодец, ваш пароль надежный », чтобы немного просвещать пользователей. Есть ли способ заставить JtR только сообщать, как долго он работает, когда он нашел совпадение, а не записывать пароль в файл .pot? Есть лучший способ сделать это? И нет, прежде чем вы это скажете, я знаю, что было бы идеально, если бы я мог просто сказать, что пароли должны соответствовать таким стандартам, но, к сожалению, в настоящее время это не вариант.
Спасибо
Я все время это делаю...
Использование Джона для быстрого сканирования файла паролей для моих клиентов помогает мне подчеркнуть важность более эффективных политик паролей. И это позволяет нацеливаться на пользователей с особенно слабыми паролями.
Если через несколько минут я смогу прийти к выводу, как показано ниже, это хороший призыв к действию:
mqv:1adam:1198:1200::/home/mqv:/bin/bash
jxe:snake:1200:1202::/home/jxe:/bin/bash
mnc:angel:1202:1204::/home/mnc:/bin/bash
jrm:medina:1203:1205::/home/jrm:/bin/bash
dom:laser:1204:1206::/home/dom:/bin/bash
rrr:ready:1205:1207::/home/rrr:/bin/bash
ELV:PLUTO:1208:1210::/home/ELV:/bin/bash
elv:pluto:1209:1211::/home/elv:/bin/bash
cxc:luna:1212:1214::/home/cxc:/bin/bash
BXB:STARS:1214:1216::/home/BXB:/bin/bash
bxb:stars:1215:1217::/home/bxb:/bin/bash
IXG:VIDEO:1216:1218::/home/IXG:/bin/bash
Я со всеми остальными - если вы с вашими крошечными ресурсами и ограниченным терпением можете найти любые пароли, тогда злоумышленник с несколькими (друзьями) ПК с 8 Radeon R290X на каждом, который решает потратить месяц или два только на ваш файл паролей, и кто гораздо, намного опытнее вас, с лучшими списками слов и наборами правил, определенно найдет их.
Если вы действительно настаиваете на ранжировании по слабости, то выполняйте атаки последовательно, сначала наименьшее исчерпывающее пространство ключей. Например (пространства клавиш являются приблизительными оценками, а НЕ расчетами точности):
Мне было интересно, является ли JtR хорошим решением для проверки надежности пароля. Я не заинтересован в поиске паролей (я бы предпочел не на самом деле)
Джон Потрошитель - хороший инструмент, но не всегда лучший.
В настоящее время для многих хешей oclHashcat это лучший бесплатный инструмент, о котором я знаю, и возможность скрыть найденные пароли это комбинация
т.е. добавить в командную строку
--outfile-format=1 --disable-potfile
Я обычно вытаскиваю файл с результатами
На платной стороне Элкомсофт имеет широкий спектр доступных инструментов; привести один пример, их Проактивный аудитор паролейпо крайней мере, есть возможность скрыть найденные пароли.
В любом случае выделите хотя бы один графический процессор любого типа, который лучше всего подходит для выбранного вами программного обеспечения.
В любом случае, изучите различные режимы - чистый режим Маркова / грубую силу для ограниченных наборов символов (включая некоторые наборы клавиш), а затем очень быстро переходите к атакам по словарю на основе правил. Создавайте словари, включающие общеупотребительные слова в вашей компании, номера телефонов, адреса, список телефонов и т. Д., И добавляйте их в обычные словари, такие как онлайн-списки слов Scrabble, phpbb, insidepro, rockyou, crackstation, clearmoon247 или myslowtech.
Если вам нужен словарь с четкой лицензией, хотя он не подходит для взлома, Английский список открытых слов лицензия:
UK Advanced Cryptics Dictionary Licensing Information:
Copyright © J Ross Beresford 1993-1999. All Rights Reserved. The following restriction is placed on the use of this publication: if the UK Advanced Cryptics Dictionary is used in a software package or redistributed in any form, the copyright notice must be prominently displayed and the text of this document must be included verbatim.
There are no other restrictions: I would like to see the list distributed as widely as possible.
Я бы подумал, что итерация с использованием грубой силы по списку / базе данных пользователей, взламывающих каждый из их паролей, будет чрезвычайно расточительной и займет очень много времени.
Учтите, что вы мало знаете об их паролях, поэтому не знаете, есть ли там буквы, прописные и строчные буквы, длина пароля или специальные символы.
Таким образом, в JTR вам придется указать огромный набор символов для работы, и взлом каждого пароля может занять (даже на быстром сервере) несколько дней, недель или больше.
Также существуют проблемы с доверием пользователей, связанные с отправкой им электронной почты, чтобы сообщить им, что вы подозреваете их пароль и считаете его ненадежным.
Лучше всего просто установить минимальные требования к надежности при создании пароля.