Nije baš nasumični niz brojeva, slova, malih i velikih slova od 25 znakova i simbola.
Dan Goodin
Po prvi put, besplatno dostupan alat za razbijanje lozinki ocl-Hashcat-plus može se uhvatiti u koštac s šiframa s čak 55 znakova. To je poboljšanje koje dolazi jer se sve više ljudi oslanja na duge šifre i fraze kako bi zaštitili svoje račune na web stranicama i drugu imovinu na mreži.
Do sada, ocl-Hashcat-plus, verzija Hashcata koja može koristiti desetke grafičkih kartica za istovremeno razbijanje ogromnog broja kriptografskih hashova, ima ograničena pogađanja na 15 ili manje znakova. (oclHashcat-lite i Hashcat podržavaju dulje lozinke, ali tim programima često treba puno više vremena da rade.) Izdano preko vikendom, ocl-Hashcat-plus verzija 0.15 općenito može prihvatiti lozinke duljine 55 likovi. Ovisno o hash-u koji se cilja i vrstama tehnika krekiranja koje se koriste, maksimum može narasti do 64 znaka ili do 24. Dugo traženo poboljšanje cilja na jednu od posljednjih obrambenih mjera koje ljudi koriste kako bi svoje lozinke učinili otpornima na probijanje.
"Ovo je daleko jedna od najtraženijih značajki", napisao je Jens Steube, vodeći Hashcat programer koji se također bavi Atomom. bilješke o izdanju za novu verziju. "Odupirali smo se dodavanju ove 'značajke' jer bi nas to prisililo na uklanjanje nekoliko optimizacija, što bi rezultiralo smanjenjem performansi za većinu algoritama. Stvarni gubitak performansi ovisi o nekoliko čimbenika (GPU, način napada itd.), ali obično je u prosjeku oko 15 posto."
Kako procurjeli popisi zaporki iz stvarnog svijeta rastu, mnogi su se ljudi okrenuli zaporkama i zaporkama dugim desecima znakova u nadi da će ostati ispred najnovijih tehnika probijanja. Krekeri su odgovorili proširenjem rječnika koje održavaju kako bi uključili fraze i kombinacije riječi koje se nalaze u Bibliji, uobičajenoj literaturi iu online raspravama. Na primjer, neovisni istraživač lozinki Kevin Young nedavno je dekodirao jedan posebno tvrdoglav hash kao kriptografski predstavljanje "postoji sudbina osim onoga što napravimo." Takve pukotine poznate su kao "izvanmrežni napadi" jer ciljaju na hashove koji su procurili kao rezultat kompromitacije baze podataka, dopuštajući osobi koja povrati hashove isprobati neograničen broj pogađanja do ispravnog otvorenog teksta lozinke su pronađene. Nakon što se temeljne vjerodajnice otkriju, haker ih može upotrijebiti za kompromitiranje mrežnog računa koji osiguravaju.
Yiannis Chrysanthou, istraživač sigurnosti koji je nedavno završio svoj magistarski rad o suvremenom probijanju lozinki, uspio je razbiti lozinka "Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn1." To je izmišljena okultna fraza iz H.P. Lovecraft kratak priča Poziv Cthulhua. Bilo bi nemoguće upotrijebiti brute-force napad ili čak kombinirani rječnik za razbijanje fraze te duljine. Ali budući da je fraza bila sadržana u ovaj članak na Wikipediji, završio je na popisu riječi koji je Chrysannthou omogućio da razbije frazu u nekoliko minuta.
Do sada su hakeri i sigurnosni savjetnici koji su provalili takve riječi morali koristiti softver za kontrolu središnju procesorsku jedinicu svog računala ili koja je koristila jednu ili više grafičkih kartica za razbijanje jedne hash. Ažuriranje ovog vikenda znači da po prvi put korisnici Hashcata mogu postići brzine od čak osam milijardi pogađanja u sekundi na gotovo neograničenom broju kompromitiranih hashova. Probijanje ograničenja od 15 znakova samo je jedno od nekoliko poboljšanja osmišljenih za povećanje brzine i preciznosti programa za probijanje lozinki.
Microsoft Active Directory, bilo tko?
Još jedno poboljšanje je podrška nove tehnike koja omogućuje krekerima radikalno smanjenje broja pogađa lozinke prilagođavajući svoje napade politici lozinki tvrtke ili organizacije u kojoj se nalaze ciljanje. Kratica za Password Analysis and Cracking Kit, the PACK set alata je razvio istraživač Peter Kacherginsky i može uštedjeti veliku količinu vremena, posebno kada ciljate na korporativne mreže.
"Ako smo pentester i trebamo revidirati AD [skraćeno za Microsoft Active Directory] domenu, obično se suočavamo s politikom lozinki", napisao je Steube. "Politika lozinki nije uvijek pametna; većinu vremena tjeraju korisnike da izaberu lozinke s predvidljivim obrascima... Upotrebom određenog skupa maski možemo izbjeći kandidatske lozinke koje se ne podudaraju s pravilima, čime se učinkovito smanjuje prostor ključeva."
ocl-Hashcat-plus cilja na mnogo veći broj popularnih kriptografskih proizvoda i aplikacija, uključujući TrueCrypt 5.0 i dalje, 1Password, Lastpass, algoritam SHA256 u operativnom sustavu Unix i operacije raspršivanja koje se nalaze u najnovijoj verziji Appleovog operacijskog sustava OS X sustav. Program također podržava puno širi niz grafičkih kartica iz Nvidije i AMD-a.
Sveukupno, programeri Hashcata proveli su više od šest mjeseci mijenjajući 618.473 linije izvornog koda, što čini više od polovice baze Hashcat koda. U usporedbi s tipičnom TrueCrypt konfiguracijom, računalo s ocl-Hashcat-plus i dvije AMD HD 6990 video kartice može kružiti kroz 223.000 kandidata za zaporke svake sekunde, dovoljno brzo da iscrpi svih 14,3 milijuna riječi sadržanih u temeljnom RockYou izlošku zaporki u 65 sekundi. U mnogim slučajevima usporavanje uzrokovano podrškom za duge lozinke nadoknađeno je poboljšanjima u drugim dijelovima programa. Jedno takvo poboljšanje raspoređuje lozinke koje se nastavljaju na popisima koje dostavljaju korisnici prema broju znakova. Pod mnogim uvjetima, ovo može značajno smanjiti vrijeme potrebno GPU-u za obradu podataka.
Nova verzija Hashcata stigla je dva dana nakon što su programeri ruskog ElcomSofta ažurirali tvrtku Softver za razbijanje telefonskih lozinki. Forenzički alat koji se naplaćuje sada podržava selektivni oporavak određenih vrsta podataka pohranjenih u Appleovoj usluzi iCloud. Nova verzija omogućuje korisnicima preuzimanje kontakata, zapisa poziva, slika ili drugih specifičnih vrsta sigurnosnih kopija podatke bez posjedovanja originalnog iPhonea, sve dok napadač ima korisnikov Apple ID i lozinka.
