如何嘗試自己破解密碼以測試其強度

本文使用開源密碼破解工具測試了 3 個不同的密碼,以找出在密碼安全方面哪種方法真正有效。

目錄

什麼是密碼破解?

如何嘗試自己破解密碼以測試其強度

當您使用線上服務建立帳戶時,提供者通常會在其伺服器上加密您的登入資訊。這是使用一種演算法來創建一個“哈希”,一個看似獨特的由字母和數字組成的隨機字串作為您的密碼。當然,它並不是真正隨機的,而是只有您的密碼才能產生的非常具體的字串,但在未經訓練的人看來,它看起來很亂。

將單字轉換為哈希值比將哈希值「解碼」回單字快得多,也容易得多。因此,當您設定密碼時,您登入的服務會透過雜湊來運行您的密碼並將結果儲存在他們的伺服器上。

如果這個密碼檔案洩露,駭客就會試圖透過破解密碼來找出它的內容。由於加密密碼比解密密碼更快,駭客會建立一個系統,將潛在的密碼作為輸入,使用與伺服器相同的方法進行加密,然後將結果與密碼資料庫進行比較。

如果潛在密碼的雜湊值與資料庫中的任何條目匹配,駭客就知道每次嘗試都與嘗試的潛在密碼相符。

如何使用 HashCat 破解自己的密碼

試著破解文章中產生的一些密碼,看看有多容易。為此,範例將使用Hashcat,這是任何人都可以使用的免費開源密碼破解工具

對於這些測試,範例將破解以下密碼:

  • 123456:一個經典的密碼和網路安全噩夢,123456 是世界上最常用的密碼。 NordPass 計算出有 300 萬個帳戶使用 123456 作為密碼,其中包括 120 萬個保護公司級帳戶的帳戶。
  • 蘇珊48!:遵循大多數使用者用來建立安全密碼的模式的密碼。這通常符合基本密碼保護的標準,但正如我們稍後將探討的,它有一些可被利用的重要弱點。
  • t9^kJ$2q9a:使用 Bitwarden 工具產生的密碼。它設定為產生一個包含大小寫字母、符號和數字的 10 個字元長的密碼。

現在,使用 MD5 加密密碼。如果密碼位於已儲存的密碼檔案中,則密碼將如下所示:

  • 123456 : e10adc3949ba59abbe56e057f20f883e
  • 蘇珊48!:df1ce7227606805745ee6cbc644ecbe4
  • t9^kJ$2q9a : 450e4e0ad3ed8766cb2ba83081c0a625

現在,是時候破解它們了。

使用字典攻擊方法執行簡單的越獄

如何嘗試自己破解密碼以測試其強度

首先,讓我們執行字典攻擊,這是最常見的密碼攻擊方法之一。這是一個簡單的攻擊,駭客獲取潛在密碼列表,要求 Hashcat 將其轉換為 MD5,並查看是否有任何密碼與上述 3 個條目相符。為了進行此測試,我們使用檔案「rockyou.txt」作為我們的字典,這是史上最大的密碼外洩事件之一。

為了開始破解,文章作者進入了 Hashcat 資料夾,右鍵單擊空白處,然後按一下「在終端機中開啟」。現在終端已開啟並設定為 Hashcat 目錄,使用以下命令呼叫 Hashcat 應用程式:

.\hashcat -m 0 -a 0 passwordfile.txt rockyou.txt -o results.txt

該命令的作用如下:

  • .\hashcat呼叫 Hashcat。
  • -m 0:指定要使用的編碼類型。本例將使用 MD5,在 Hashcat 幫助文件中列為 0。
  • -a 0:指定要執行的攻擊。 Hashcat 說明文件將 Dictionary Attack 列為零,因此我們在此稱之為零。
  • passwordfile.txt rockyou.txt:第一個檔案包含我們之前設定的 3 個加密密碼。第二個檔案是整個 rockyou 密碼資料庫。
  • -o results.txt:這個變數決定了我們要將結果放在哪裡。在命令中,它將破解的密碼放入名為「results」的TXT檔案中。

儘管 rockyou 非常龐大,但 Hashcat 還是在 6 秒內處理了所有檔案。在產生的檔案中,Hashcat 表示它破解了密碼 123456,但密碼 Susan 和 Bitwarden 仍然未被破解。這是因為其他人在 rockyou.txt 檔案中使用了 123456,但沒有其他人使用密碼 Susan 或 Bitwarden,這意味著它們足夠安全,可以抵禦這次攻擊。

使用隱藏的暴力攻擊進行更複雜的越獄

如何嘗試自己破解密碼以測試其強度
使用 Hashcat 進行暴力攻擊

當某人使用與大型密碼清單中的密碼相同的密碼時,字典攻擊非常有效。它們實作起來快速又簡單,但無法破解字典中沒有的密碼。因此,如果您真的想測試您的密碼,您需要使用暴力攻擊。

如果字典攻擊只是採用預設清單並逐一轉換,那麼暴力攻擊也會做同樣的事情,但會使用所有可以想像到的組合。它們更難實現並且需要更多時間,但最終可以破解任何密碼。我們很快就會看到,這種能力有時需要很長時間。

以下是用於執行「真正」暴力攻擊​​的命令:

.\hashcat -m 0 -a 3 target.txt --increment ?a?a?a?a?a?a?a?a?a?a -o output.txt

該命令的作用如下:

  • -a 3:此變數定義了我們想要執行的攻擊。 Hashcat 幫助文件將暴力攻擊列為第 3 位,因此在這裡這樣稱呼。
  • target.txt:包含我們想要破解的加密密碼的檔案。
  • --increment:此命令告訴 Hashcat 嘗試所有長度為一個字符的密碼,然後是兩個字符,然後是三個字符,等等,直到找到匹配的密碼。
  • ?a?a?a?a?a?a?a?a?a?a?a?a:這被稱為「面具」。掩碼使我們能夠告訴 Hashcat 在哪些位置使用了哪些字元。每個問號指定密碼中的一個字元位置,字母指定我們在每個位置嘗試的內容。字母「a」代表大寫和小寫字母、數字和符號,因此這個面具表示「在每個位置上嘗試所有內容」。這是一個糟糕的面具,但我們稍後會有效地使用它。
  • -o output.txt:這個變數決定了我們要將結果放在哪裡。範例指令將破解的密碼放入名為「output」的TXT檔案中。

即使有這個糟糕的掩碼,密碼 123456 也會在 15 秒內被破解。儘管它是最常見的密碼,但它卻是最弱的密碼之一。

密碼「Susan48!」好多了——電腦顯示破解需要 4 天。然而,有一個問題。還記得文章中說蘇珊的密碼有嚴重缺陷嗎?最大的錯誤是密碼的構造方式是可預測的。

在建立密碼時,我們經常將特定元素放在特定位置。你可以想像密碼創建者蘇珊一開始嘗試使用“susan”,但被要求添加大寫字母和數字。為了更容易記住,他們將首字母大寫,並在末尾添加數字。然後,登入服務可能會要求輸入符號,因此密碼設定者會將其新增至結尾。

因此,我們可以使用掩碼來告訴 Hashcat 僅在特定位置嘗試特定字符,以利用人們在創建密碼時猜測的容易程度。在這個遮罩中,「?u」只會在該位置使用大寫字母,「?l」將只使用小寫字母,「?a」代表任意字元:

.\hashcat -m 0 -a 3 -1 ?a target.txt ?u?l?l?l?l?a?a?a -o output.txt

利用這個掩碼,Hashcat 在 3 分 10 秒內破解了密碼,比 4 天快得多。

Bitwarden 密碼長度為 10 個字符,並且不使用任何可預測的模式,因此需要使用沒有任何掩碼的暴力攻擊才能破解它。不幸的是,當要求 Hashcat 執行此操作時,它給出了一個錯誤,說可能的組合數超過了整數限制。 IT安全專家表示,Bitwarden花了3年才破解該密碼,所以這就夠了。

如何保護您的帳戶免於密碼駭客攻擊

阻止文章破解 Bitwarden 密碼的主要因素是其長度(10 個字元)和不可預測性。因此,在建立密碼時,請嘗試使其盡可能長,並在整個密碼中均勻分佈符號、數字和大寫字母。這可以防止駭客使用遮罩來預測每個元素的位置,並使其更難破解。

您可能知道舊的密碼格言,例如“使用字元數組”和“盡可能長”。希望您知道為什麼人們推薦這些有用的提示——它們是易破解密碼和安全密碼之間的關鍵區別。

Sign up and earn $1000 a day ⋙

Leave a Comment

普通電視和智慧電視的差別

普通電視和智慧電視的差別

智慧電視確實風靡全球。憑藉如此多的強大功能和互聯網連接,科技改變了我們觀看電視的方式。

為什麼冷凍室沒有燈,冷藏室有燈?

為什麼冷凍室沒有燈,冷藏室有燈?

冰箱是家庭中常見的家用電器。冰箱通常有 2 個隔間,冷藏室寬敞,並且每次使用者打開時都會自動亮燈,而冷凍室狹窄且沒有燈。

解決 Wi-Fi 速度變慢的網路擁塞問題的 2 種方法

解決 Wi-Fi 速度變慢的網路擁塞問題的 2 種方法

除了路由器、頻寬和乾擾之外,Wi-Fi 網路還受到許多因素的影響,但也有一些智慧的方法可以增強您的網路效能。

如何使用 Tenorshare Reiboot 將 iOS 17 降級到 iOS 16 且不遺失數據

如何使用 Tenorshare Reiboot 將 iOS 17 降級到 iOS 16 且不遺失數據

如果您想在手機上恢復穩定的 iOS 16,這裡是卸載 iOS 17 並從 iOS 17 降級到 16 的基本指南。

每天吃優​​格會對身體產生什麼影響?

每天吃優​​格會對身體產生什麼影響?

酸奶是一種美妙的食物。每天吃優​​格好嗎?每天吃酸奶,你的身體會發生怎樣的變化?讓我們一起來了解一下吧!

哪種米最有益於健康?

哪種米最有益於健康?

本文討論了最有營養的米種類以及如何最大限度地發揮所選米的健康益處。

如何早上準時起床

如何早上準時起床

制定睡眠時間表和就寢習慣、更改鬧鐘以及調整飲食都是可以幫助您睡得更好、早上準時起床的一些措施。

玩 Rent Please! 的提示新手模擬房東

玩 Rent Please! 的提示新手模擬房東

請租用! Landlord Sim 是一款適用於 iOS 和 Android 的模擬手機遊戲。您將扮演一個公寓大樓的房東,開始出租公寓,目標是升級公寓的內部並為租戶做好準備。

最新浴室塔防代碼及代碼輸入方法

最新浴室塔防代碼及代碼輸入方法

取得浴室塔防 Roblox 遊戲代碼並兌換令人興奮的獎勵。它們將幫助您升級或解鎖具有更高傷害的塔。

變壓器的結構、符號和工作原理

變壓器的結構、符號和工作原理

讓我們以最準確的方式了解變壓器的結構、符號和運作原理。

人工智慧讓智慧電視更上一層樓的四種方式

人工智慧讓智慧電視更上一層樓的四種方式

從更好的影像和聲音品質到語音控制等等,這些人工智慧功能讓智慧電視變得更好!

為什麼 ChatGPT 比 DeepSeek 更好

為什麼 ChatGPT 比 DeepSeek 更好

最初,人們對DeepSeek寄予厚望。作為 ChatGPT 強勁競爭對手的 AI 聊天機器人,它承諾提供智慧聊天功能和體驗。

認識 Fireflies.ai:免費的 AI 秘書,幫你節省大量工作時間

認識 Fireflies.ai:免費的 AI 秘書,幫你節省大量工作時間

在記下其他重要事項時很容易錯過重要細節,而在聊天時記筆記可能會分散注意力。 Fireflies.ai 就是解決方案。

如何飼養 Minecraft 中的美西蠑螈,馴服 Minecraft 中的蠑螈

如何飼養 Minecraft 中的美西蠑螈,馴服 Minecraft 中的蠑螈

如果玩家知道如何使用 Axolot Minecraft,它將成為玩家在水下操作時的絕佳助手。

《噤界:前路》PC遊戲配置

《噤界:前路》PC遊戲配置

《寂靜之地:前路》的配置評價相當高,因此您需要在決定下載之前考慮其配置。