服务器 Gind.cn
  1. 服务器 Gind.cn
  3. john the ripper来评估相对的密码强度
Intereting Posts
550 SMTP错误:邮箱不可用 在没有扩展名的Apache / 2.2.31和mod_wsgi 3.4上的MIME Magic SSH远程转发两跳 列出已安装的软件包与回购他们来自哪里? Azure备份和ASR可以保护相同的工作负载吗? 在Apache mod重写中dynamic设置RequestHeader主机 每天自动备份多个网站 如何检测路由器或传输线路错误 Cron同步mysql表 如何拯救具有oradata和pipe理员的oracle实例? FreeBSD 2网卡 什么样的托pipe是用于*pipe网站? 我应该使用域还是本地pipe理员帐户安装IBM Domino? 缩放EC2上托pipe的LAMP网站 只丢弃SYN数据包会提高还是降低防火墙的性能?

john the ripper来评估相对的密码强度

我想知道JtR是否是testing密码强度的好方法。 我对find密码并不感兴趣(我宁愿不要),我想以一种让我说“用户A”的方式来运行JtR,我认为你应该select一个更好的密码真的很弱;用户B,密码不错,但可以稍微改进一点;用户C,做得好,密码强“,以便做一些用户的教育。 有没有一种方法可以让JtR只在发现匹配时说明它运行了多长时间,而不是在.pot文件中logging密码? 有一个更好的方法吗? 不,在你说出来之前,我知道如果我可以说,这将是完美的,密码应该尊重这样的标准,但不幸的是目前不是一种select。

谢谢

我一直这样做…

使用John为我的客户运行密码文件的快速扫描帮助我强调了更好的密码策略的重要性。 它确实允许用户使用特别弱的密码进行定位。

如果在几分钟内,我可以拿出如下的输出,这是一个很好的号召性用语: 

mqv:1adam:1198:1200::/home/mqv:/bin/bash jxe:snake:1200:1202::/home/jxe:/bin/bash mnc:angel:1202:1204::/home/mnc:/bin/bash jrm:medina:1203:1205::/home/jrm:/bin/bash dom:laser:1204:1206::/home/dom:/bin/bash rrr:ready:1205:1207::/home/rrr:/bin/bash ELV:PLUTO:1208:1210::/home/ELV:/bin/bash elv:pluto:1209:1211::/home/elv:/bin/bash cxc:luna:1212:1214::/home/cxc:/bin/bash BXB:STARS:1214:1216::/home/BXB:/bin/bash bxb:stars:1215:1217::/home/bxb:/bin/bash IXG:VIDEO:1216:1218::/home/IXG:/bin/bash

我和其他人一样 – 如果你用你的小资源和有限的耐心,可以find任何密码,然后攻击者与几个(朋友)个人电脑与8个Radeon R290X的谁决定花一两个月就在你的密码文件,谁比你更有经验,有更好的单词表和规则集,肯定会find他们。

如果你真的坚持排名靠前,那么按顺序进行攻击,首先是最小的穷举密钥空间。 例如(密钥空间是粗略的估计,而不是精确计算):

  • 基于规则的穷尽字典攻击与184389字的小phpbb字典和Best64规则集是1E7
  • 所有数字的8位字符密码马尔科夫/蛮力穷举是1E8
  • 掩盖攻击的小字phpbb字典184389字与后缀的所有数字介于0和999之间,无论是有和没有尾随!,是3E8
  • 基于规则的穷举字典攻击与微小的phpbb字典和优秀的d3ead0ne规则集35404规则是6E9
  • 马尔可夫/穷举穷举5个小写字母,但始终以123结尾的8个字符的密码是26 ^ 5或8E9
  • 马尔可夫/穷举8个低/数字字符的8个字符密码是2E12
  • 基于规则的穷举字典攻击与InsidePro完整字典154045162单词和优秀的d3ead0ne规则集35404规则是5E12
  • ….
  • 8个低位/高位/数字字符的8个字符密码的马尔可夫/穷举力是2E14
  • ….
  • 基于规则的组合穷举攻击的184389个字的小phpbb字典与InsidePro Full交叉,然后应用154045162单词的InsidePro完整字典和35404规则的优秀d3ead0ne规则集是1E18
  • 再次,如果任何这些find一个密码,它是脆弱的。
  • 当然,这里面有几乎无限的变种,但是我发现先运行最快的攻击是有用的,这样在每个用户腌制的密码上,使用更昂贵的攻击来对付最less的哈希
    • 即先运行1E8攻击,然后删除从列表中find的所有哈希。 然后,进行3E8攻击,删除这些攻击,然后向上移动,这样就不会尝试对可能已被删除的密码进行1E14攻击。

我想知道JtR是否是testing密码强度的好方法。 我对find密码并不感兴趣(我宁愿不要)

开膛手约翰是一个很好的工具,但它并不总是最好的工具。

目前,对于许多散列, oclHashcat是我知道的最好的免费工具, 隐藏find的密码的选项是

  • – 禁用potfile
  • –outfile格式= NUM
    • 1 =散列[:盐]

即添加到您的命令行 

  --outfile-format=1 --disable-potfile

我通常拉入结果文件

在付费方面, Elcomsoft提供了各种各样的工具。 举一个例子,他们的Proactive Password Auditor至less可以隐藏find的密码。

在任何情况下,预算至less有一个任何types的GPU最适合您select的软件。

在任何情况下,学习各种模式 – 纯马尔可夫模式/有限的字符集蛮力(包括一些keywalking集),然后很快gradle到基于规则的字典攻击。 制作词典,包括公司的常用词汇,电话号码,地址,电话列表等,并将其添加到常用词典,如在线拼字游戏单词列表,phpbb,insidepro,rockyou,crackstation,clearmoon247或myslowtech。

如果您需要具有明确许可证的字典,但不适用于破解,则英语开放式词汇列表许可证是: 

 UK Advanced Cryptics Dictionary Licensing Information: Copyright © J Ross Beresford 1993-1999. All Rights Reserved. The following restriction is placed on the use of this publication: if the UK Advanced Cryptics Dictionary is used in a software package or redistributed in any form, the copyright notice must be prominently displayed and the text of this document must be included verbatim. There are no other restrictions: I would like to see the list distributed as widely as possible.

我想在用户的列表/数据库上使用暴力破解来破解他们的密码是非常浪费的,而且需要很长时间。

考虑到你对密码不太了解,所以你不知道是否有字母,大写,小写,密码长度或特殊字符。

所以在JTR中,你将不得不指定一个巨大的字符集来工作,并且可能需要几天,几周甚至更长时间(甚至在一个快速的服务器上)来破解每个密码。

还有用户信任问题围绕电子邮件发送给他们,让他们知道您已经密码,并认为它是微弱的。

当他们创build密码时,最好强制执行最低强度要求。