< Return to Video

https:/.../31c3-5966-en-UNHash_-_Methods_for_better_password_cracking_hd.mp4

  • 0:10 - 0:11
    [Translated by Vithushan Elankumaran (KYBS2004 course assignment at JYU.FI)]
    Hallo, CCC.
  • 0:12 - 0:16
    Ich bin Tonimir und ich
    werde über Unhash sprechen,
  • 0:16 - 0:17
    was Methoden für ein besseres Passwort -Cracking sind.
  • 0:18 - 0:24
    Also. Der Kern meines Vortrags ist meine
    Recherche, wie man langweilige Dinge
  • 0:24 - 0:29
    für die Überprüfung von Passwörtern
    auf Online-Systemen automatisiert
  • 0:29 - 0:31
    und Angriffe für die Kennwortverfolgung gegen Offline-Passwörter verbessert.
  • 0:32 - 0:36
    Die Idee ist, Elemente
    beizutragen und zu erstellen, die
  • 0:36 - 0:41
    wiederverwendbar sind,
    die einfach in andere Tools wie Metas Exploit
  • 0:41 - 0:44
    oder ein anderes Tool mit Offenheit, wiederverwendbar integriert werden können.
  • 0:46 - 0:48
    Beginnen wir zunächst mit
    der Psychologie der Passwörter.
  • 0:48 - 0:51
    Welche Art von Passwörtern gibt es zuerst?
  • 0:51 - 0:55
    Es gibt einige Standardkennwörter
    oder Standard-Backdoors, wo jemand klug
  • 0:55 - 0:59
    genug war, um sich in ein System wie Root
    Support Admin und so weiter zu integrieren.
  • 1:00 - 1:05
    Es gibt echte Passwörter, da die Leute ein
    System benötigen, um ein Passwort zu erinnern.
  • 1:05 - 1:07
    Jeder von Ihnen hat ein System.
  • 1:07 - 1:11
    Wie er ein Passwort erstellt, wie er
    sich an das Passwort erinnert, oder?
  • 1:12 - 1:14
    Die Leute verwenden also Kombinationen.
  • 1:14 - 1:20
    Mutationen, sie fügen Wörter hinzu, sie haben
    ihre eigenen Wege und sie sind
  • 1:20 - 1:24
    Pseudo zufällige Passwörter, weil Sie nicht sagen
    können, dass ein Passwort wirklich zufällig ist.
  • 1:25 - 1:27
    Für den Fall in einigen
    besonderen Fällen vielleicht.
  • 1:28 - 1:32
    Aber so etwas, wenn jemand diesen auswendig
    lernen kann, ist das großartig, aber normalerweise
  • 1:32 - 1:36
    kann ich nicht, und deshalb haben wir Systeme,
    die wir uns an Kennwörter erinnern können.
  • 1:37 - 1:40
    Der Vortrag ist also in
    zwei Probleme aufgeteilt.
  • 1:40 - 1:42
    Das erste Problem ist das langweilige.
  • 1:43 - 1:45
    Also legen wir das
    Interessante in den Rücken.
  • 1:45 - 1:50
    Das erste Problem ist, wie Sie
    Systeme auf Standardkennwörter
  • 1:50 - 1:52
    auf Netzwerkgeräten wie Routen und Switches überprüfen.
  • 1:53 - 1:57
    Wie überprüfen Sie nach eingebetteten Hintertüren, Hintertüren, nicht im Fall von programmatischen
  • 1:57 - 2:02
    Hintertüren, sondern Hintertür-Passwörter,
    die jemand ein Konto hinterlassen hat.
  • 2:02 - 2:06
    Und der dritte ist, wie man Daten
    von automatisierten Angriffen erhält.
  • 2:07 - 2:08
    Also.
  • 2:09 - 2:09
    Hoppla.
  • 2:11 - 2:14
    Das langweilige Problem hier sind
    Standardkennwörter auf Geräten.
  • 2:14 - 2:19
    Jeder von Ihnen hat einen Router
    zu Hause, oder anderen Gerätetyp.
  • 2:19 - 2:22
    Normalerweise werden sie vorkonfiguriert
    für ein Standard-Passwort.
  • 2:23 - 2:27
    Dieses Problem
    manifestiert sich normalerweise
  • 2:27 - 2:29
    in der Produktion über eine Art vergessenes Gerät.
  • 2:29 - 2:31
    In einer Situation brauchen
    wir gerade drahtlos.
  • 2:31 - 2:34
    Lassen Sie einfach ein Gerät
    und lassen Sie es uns zum laufen bringen.
  • 2:34 - 2:38
    In Testsystemen. Wie wenn irgendjemand
    arbeitet, gibt es eine Datenbank.
  • 2:38 - 2:43
    Es gibt eine Kombination aus dem,
    Benutzernamen und Kennwort, die
  • 2:43 - 2:46
    für den Datenbankadministrator,
    ein anderes für den
  • 2:46 - 2:49
    Systemadministrator und die zweite sind nie geändert oder mit schlampigen Konfigurationen.
  • 2:50 - 2:51
    Das ist ein langweiliges Problem.
  • 2:51 - 2:55
    Die leicht interessanten Probleme
    sind Backdoor-Passwörter
  • 2:55 - 2:57
    und Sammlung von Daten von Angriffen in freier Wildbahn.
  • 2:58 - 3:04
    Wenn Sie also den Standardbenutzer und das
    Standard -Passwort sammeln möchten, haben sie
  • 3:04 - 3:08
    eine der Ideen, die ich gemacht habe, einfach
    nur alle Standardkennwortlisten scrapen.
  • 3:08 - 3:12
    Deshalb möchte ich mich
    zuerst allen netten Jungs von Fino
  • 3:12 - 3:15
    Elite, CNET Liquid Matrix Dnet Security Override, bedanken.
  • 3:15 - 3:20
    Dadurch wurden ihre
    Passwortlisten der Standardgeräte im
  • 3:20 - 3:24
    Netz gelassen, sie werden aufgerufen und natürlich organisiert und
    nach dem Auftreten gewichtet.
  • 3:24 - 3:29
    Dies ist nützlich, um zu testen, ob ein einfaches Gerät ein vergessenes Passwort hat.
  • 3:29 - 3:39
    Gesammelte Daten nach Auftreten sind die einzige nützliche Metrik, die wir für die Analyse von Standard-Standardkennwörtern haben.
  • 3:39 - 3:44
    Wenn Sie eine Idee für eine bessere haben, Ich würde gerne hören, denn wenn
  • 3:44 - 3:47
    der Benutzername und das
    Passwortpaar sind häufiger wie
  • 3:47 - 3:51
    Administrator, Administrator
    oder Administrator ohne Passwort.
  • 3:51 - 3:54
    Es schwebt einfach nach oben und wird früher getestet.
    Das spart also Zeit.
  • 3:54 - 4:02
    Andere Metriken können vom Anbieter oder mit dem Gerät erfolgen, das
    jedoch normalerweise nicht den Anwendungsfall abdeckt. Wir möchten
  • 4:02 - 4:09
    zum Beispiel auf vergessene Geräte testen, auf schwache Geräte testen
    und jemand sagen, warum sollten Sie Online -Geräte testen möchten?
  • 4:09 - 4:11
    Was ist, wenn jemand versäumt hat, eine
    SSH -Wache zu verbieten oder zu verbieten?
  • 4:12 - 4:18
    Nun dann haben sie die Standardkennwörter nicht da gelassen.
  • 4:19 - 4:22
    Der Code für diese einfache
    Sache ist auf GitHub verfügbar.
  • 4:22 - 4:26
    Sie können es verwenden und es ist auch als
    Standard für Meta Exploit -Framework verfügbar.
  • 4:26 - 4:27
    Benutzerkennwortdienste.
  • 4:28 - 4:33
    Wenn Sie meiner Aufbereitung
    in diesem Teil
  • 4:33 - 4:35
    vertrauen, sind das leicht interessante Problem hartcodierte Hintertüren.
  • 4:36 - 4:38
    Es gibt eine interessante Geschichte.
  • 4:38 - 4:40
    Ich habe ein HP -Speichergerät erhalten.
  • 4:41 - 4:48
    Dies ist ein SAN-Speichergerät,
    das nach einiger Zeit diesen interessanten
  • 4:48 - 4:52
    Beitrag im Netz gab, den jemand eingebettete
    Hintertoors in HP -Speichergeräten fand.
  • 4:53 - 4:54
    Und raten Sie mal, was?
  • 4:54 - 4:58
    Ich habe den Standard -Benutzernamen, den HP
    -Support und die Passwortbadgers in Lead ausprobiert.
  • 4:59 - 5:02
    Und Sie können natürlich auf
    den Verwaltungsteil zugreifen.
  • 5:03 - 5:09
    Billy, der diesjährige Black Hat, veröffentlichte,
    dass fast alle Flughafensicherheitskontrollen.
  • 5:09 - 5:15
    Wie, Access Control -Geräte, die sagen, dass die Eröffnung von Türen ermöglichen
  • 5:15 - 5:19
    oder wer ist vom Personal auf dem Boden registriert,
  • 5:19 - 5:25
    oder Dinge wie der Morpho Elementizer,
    dies ist ein Gerät, das nach Betäubungsmitteln scannt oder Sprengstoffe, wenn sie dich tupfen.
  • 5:25 - 5:27
    dass diese Hintertüren integriert haben.
  • 5:27 - 5:30
    Dies sind die Benutzernamen
    und Passwörter,
  • 5:30 - 5:31
    und natürlich sind alle
    diese Geräte vernetzt.
  • 5:32 - 5:37
    Leider ist der Trend, Benutzernamen
    und Passwörter als Hintertüren
  • 5:37 - 5:44
    einzubetten, wird immer mehr und mehr zum Trend. Zum Beispiel.
  • 5:44 - 5:52
    Wie viele von Ihnen wissen
    über das Leck eines beliebten
  • 5:52 - 5:57
    VPN-Firewall-Anti-Spam-Anbieters im letzten Jahr, der
    mehrere Backdoor-Konten in ihre Geräte eingebettet hat?
  • 5:58 - 6:03
    Zum Beispiel war das Beste,
    my-SQL -Datenbank mit dem
  • 6:03 - 6:09
    Standardbenutzerprodukt und dem Passwort, das leer war, mit einem Fern-SSH -Schlüssel
  • 6:09 - 6:13
    mit fernzugriffsfunktion.
  • 6:13 - 6:14
    Erinnert sich jemand daran?
  • 6:16 - 6:20
    Nun, das Problem ist, dass dies,
  • 6:20 - 6:21
    , ein immer größeres Problem wird.
  • 6:22 - 6:27
    Zum Beispiel
    können diese Art von
  • 6:27 - 6:28
    Geräten kein Privileg
    genießen, sicher zu sein.
  • 6:28 - 6:31
    Ich kann nicht glauben, dass
    jemand sie benutzen möchte.
  • 6:31 - 6:35
    Ich möchte zumindest sagen, dass die Leute
    anfangen, Sachen zu prüfen, die Sie besitzen.
  • 6:36 - 6:42
    Aber wenn ich besitze sage, meine ich nicht
    einbetten, aber bitte
  • 6:42 - 6:46
    konsultieren Sie Ihre Anwälte, Ihre örtlichen Gesetze,
    denn das kann Ihnen alle möglichen Ärger bringen.
  • 6:49 - 6:54
    Der dritte, für Online -Angriffe ist,
    wie Datensätze von Angreifern erfasst werden.
  • 6:54 - 6:55
    Wenn du sammeln willst.
  • 6:56 - 7:01
    Daten, die bei Online
    -Angriffen verwendet werden,
  • 7:01 - 7:05
    beispielsweise, was Botnets
    verwenden. Ein interessanter Teil
  • 7:05 - 7:08
    davon ist, dass Sie SSH Pot verwenden
    können, der Daten von SSH -Honeypots sammelt.
  • 7:08 - 7:12
    Wenn Sie also Schlüssel oder eine andere Honeypot
    -Technologie ausführen, senden Sie diese bitte an sie.
  • 7:12 - 7:17
    Es wird mehr als nützlich sein,
    und das ermöglicht es Ihnen,
  • 7:17 - 7:19
    Informationen über öffentliche
    Brute -Force -Angriffe zu sammeln.
  • 7:19 - 7:25
    Und wenn Sie alle verwendeten Benutzernamen-
    und Passwortkombinationen herunterladen.
  • 7:25 - 7:27
    Sie sehen einige
    interessante Muster.
  • 7:27 - 7:35
    Zum Beispiel, sehr beliebt bei
    einer hohen Anzahl von Hits ist Root und
  • 7:35 - 7:41
    , sagen wir, und lassen Sie es anonym sein, Ein Router -Anbieter -Name plus 46.
  • 7:41 - 7:44
    Wenn Sie es googeln, ist
    es kein Standardkennwort.
  • 7:44 - 7:46
    Sie können es nicht als
    Standardkennwort finden.
  • 7:46 - 7:51
    Der zweite ist eine URL eines beliebten
    ISP plus eine zufällige Zeichenfolge.
  • 7:52 - 7:56
    Der dritte ist doppelt so hoch
    wie der Name der Research
  • 7:56 - 8:01
    Corporation und einige andere
    Kombinationen, die Sie nicht
  • 8:01 - 8:02
    als Standard -Startkennwörter einiger Systeme finden können.
  • 8:03 - 8:05
    Jetzt gibt es eine interessante Frage.
  • 8:05 - 8:10
    Sind diese Hintertüren oder haben
    jemand eine Insider -Informationen
  • 8:10 - 8:12
    darüber, wie man einige Systeme brechen und einfach alles versucht.
  • 8:12 - 8:14
    Lassen Sie uns nicht zu Schlussfolgerungen
    springen, aber ich würde es tun.
  • 8:15 - 8:18
    Fragen Sie alle, die sich für solche Dinge
    interessieren, nur um sich die öffentlichen
  • 8:18 - 8:22
    Angriffsdaten anzusehen, und Sie werden dort
    möglicherweise einige interessante Dinge finden.
  • 8:24 - 8:25
    Warum verlieren wir an dieser Front?
  • 8:26 - 8:28
    Denn lass uns einfach sein.
  • 8:28 - 8:32
    Wir können kein zentrales Repository
    haben, das alle bekannten Hintertür -Daten,
  • 8:32 - 8:35
    alle bekannten Hintertür -Passwörter,
    unbekannte Startkennwörter sammelt.
  • 8:37 - 8:42
    Wenn Sie sich ansehen, wie ein Tool
    mit Kennwortlisten zum Testen enthält,
  • 8:42 - 8:47
    werden Sie feststellen, dass Sie nicht
    finden können, wo diese Liste entstanden ist.
  • 8:47 - 8:49
    Wer hat es für welchen Anwendungsfall
    erstellt. Warum sollten Sie es verwenden?
  • 8:50 - 8:53
    Es gibt keine explorativen
    Daten, die sagen werden.
  • 8:54 - 8:59
    Aus der Art und Weise, wie diese
    Passwortliste erstellt wurde, Sie können sie
  • 8:59 - 9:02
    auf keinen Fall in andere Tools integrieren,
    und es gibt keine Updates und so weiter.
  • 9:03 - 9:07
    Das Lesen von Pull-Anfragen
    von Github ist keine Idee, wenn
  • 9:07 - 9:09
    Sie sehen möchten, wie etwas in einem Tool landete.
  • 9:10 - 9:14
    Dies ist ein manueller Vorgang und
    wie Sie sehen, ist dieser Teil langweilig.
  • 9:14 - 9:18
    Niemand kann sich die Mühe machen, Passwörter
    hinzuzufügen oder diese Listen zu verwalten, daher
  • 9:18 - 9:23
    habe ich wirklich die höchste Anerkennung für
    Personen, die diese Listen verwalten, weil ich.
  • 9:24 - 9:25
    Jemand muss es tun.
  • 9:25 - 9:27
    Und ich möchte nur eine Sache sagen.
  • 9:27 - 9:29
    Wir brauchen ein zentrales
    Repository von diesem Zeug.
  • 9:30 - 9:33
    Lassen Sie uns ein Repository beibehalten,
    nicht sechs Repositories von diesen
  • 9:33 - 9:35
    Daten, die nicht verbunden sind.
  • 9:36 - 9:40
    Lassen Sie uns ermöglichen,
    dass es leicht in Tools integriert
  • 9:40 - 9:42
    werden kann. Lassen Sie uns die zu überprüfenden Daten ermöglichen.
  • 9:42 - 9:46
    Wenn Sie also daran arbeiten möchten,
    kontaktieren Sie mich einfach.
  • 9:46 - 9:50
    Von dem langweiligen
    Teil zum interessanten Teil
  • 9:50 - 9:53
    Wie Sie das Knacken für nicht zufällige Passwörter beschleunigen können.
  • 9:53 - 9:56
    Lassen Sie uns zunächst herausfinden,
    wie Leute Passwörter erstellen.
  • 9:56 - 9:56
    Das ist die Frage.
  • 9:57 - 10:02
    Wenn Sie sehen können, wie
    jemand sein Passwort erstellt,
  • 10:02 - 10:04
    können Sie wahrscheinlich einen besseren Angriff erstellen.
  • 10:04 - 10:06
    Warum solltest du das tun wollen?
  • 10:06 - 10:07
    Weil das auch ist.
  • 10:08 - 10:09
    Mit einer anderen Sache verbunden.
  • 10:10 - 10:13
    Sie möchten Word-Listen
    oder andere Daten erstellen,
  • 10:13 - 10:15
    die auf einen bestimmten Verlust von Benutzern abzielen.
  • 10:15 - 10:22
    Wenn beispielsweise jemand Menschen hier angreifen
    will, wird er Sicherheitsaktivismus 31 C3 und andere
  • 10:22 - 10:26
    Schlüsselwörter und Daten verwenden, die daraus
    abgeleitet werden, um seinen Angriff zu ermöglichen.
  • 10:28 - 10:32
    Welche Möglichkeiten haben
    wir also, wenn wir viele Hashes
  • 10:32 - 10:33
    knacken wollen oder wenn wir Passwörter knacken wollen?
  • 10:34 - 10:37
    Erstens ist immer der
    einfache und immer der Spaß.
  • 10:37 - 10:41
    Bauen Sie eine schnellere Crack
    -Maschine, Wie mehrere GPUs, mehrere
  • 10:41 - 10:43
    Prozessoren, Cluster
    aufbauen und so weiter.
  • 10:44 - 10:47
    Der zweite Weg besteht darin,
    den Algorithmus einfach anzugreifen.
  • 10:49 - 10:54
    Zum Beispiel war,
    der MD Four -Algorithmus bekannt dafür,
  • 10:54 - 10:56
    dass Sie ihn mit einem Stift auf einem Stück Papier brechen können.
  • 10:57 - 11:01
    Das dritte ist
    so etwas wie die Hash-Angriffe
  • 11:01 - 11:05
    -Differentialleistungsanalyse
    oder alle Dinge durchführen,
  • 11:05 - 11:08
    die NSA tut, um das Passwort
    einfach irgendwie von der
  • 11:08 - 11:12
    Maschine aus der Maschine zu erhalten, ohne dass das reale Passwort zu knacken.
  • 11:12 - 11:16
    Der dritte ist nicht das Passwort brute forcen.
  • 11:17 - 11:18
    Versuchen Sie es mit intelligenteren Angriff.
  • 11:18 - 11:20
    Dann verwenden die Leute eine Wortliste.
  • 11:20 - 11:22
    Dann verwenden sie Regeldateien.
  • 11:22 - 11:24
    Dann benutzen sie Time-memory trade-off-Angriffe.
  • 11:25 - 11:30
    Wie bei Rainbowtables.
    Dann verwenden sie Markoff
  • 11:30 - 11:32
    -Angriffe, Maskenangriffe, Fingerabdruckangriffe oder etwas anderes.
  • 11:33 - 11:36
    Also mit einer obligatorischen
    XKCD-Referenz.
  • 11:37 - 11:40
    Leute erstellen solche Passwörter,
    schreiben Passwort-Phrasen.
  • 11:40 - 11:44
    Wie können Sie es mit einem normalen Werkzeug knacken?
    Es ist ein bisschen schwieriger, oder?
  • 11:44 - 11:48
    Also wollte ich etwas schaffen, dass Sie so etwas wie das schreiben können, das ist
  • 11:48 - 11:53
    eine tatsächliche Regeldatei, die sagt,,
    durchgehen Sie einfach alle vier Wörter aus einer Wortliste und lassen
  • 11:53 - 11:55
    Sie uns sehen, was daraus herauskommt.
  • 11:55 - 11:56
    Richtig.
  • 11:57 - 12:00
    Die Idee dahinter war ein
    datengesteuerter Ansatz.
  • 12:00 - 12:05
    Also, wie lernen Sie, wie
    Menschen Passwörter erstellen?
  • 12:05 - 12:10
    Erstens benötigen Sie Daten und Daten sind, Ob Sie es
  • 12:10 - 12:13
    glauben oder nicht, schwer zu finden im Netz; zumindest Qualitätsdaten.
  • 12:13 - 12:17
    Einige der netten Leute im Internet
    haben viele gute Forschungsdaten
  • 12:17 - 12:20
    beigetragen, was bei sauberem Passwort -Dumps bedeutet.
  • 12:21 - 12:25
    Bei Ereignissen sollte es rohe
    Hashes oder alle einfachen Text geben,
  • 12:25 - 12:30
    nicht nur einen Ausschnitt
    oder einige gephishte Teile, was
  • 12:30 - 12:33
    bedeutet, dass Sie dies benötigen, dass Ihre Auswahl wirklich begrenzt ist.
  • 12:34 - 12:37
    Das Lernsatz betrug
    32 Millionen Passwörter.
  • 12:37 - 12:42
    Das bedeutet 14 Millionen eindeutige Passwörter,
    Wo alle
  • 12:42 - 12:47
    Reliktgriechischen und andere Beschriftungen wurden ausgeworfen, weil
    Ich
  • 12:47 - 12:50
    wollte diese Sprachen nicht in den Lernprozess
    einbeziehen, weil ich sie nicht wirklich gut kenne.
  • 12:51 - 12:55
    Und die drei größten
    Listen, die verfügbar
  • 12:56 - 12:57
    waren, waren Roku-, PHPBB- und Yahoo-Listen.
  • 12:57 - 13:00
    Jeder, der Passwortforschung macht, kennt diese
  • 13:00 - 13:03
    Listen als beliebte öffentliche Listen.
  • 13:03 - 13:06
    Die Überprüfungsdaten
    waren zwei Listensätze.
  • 13:06 - 13:10
    Der erste war LinkedIn, das
    zweitgrößte Leck nach Roku, und der
  • 13:10 - 13:14
    dritte stammte von Elite -Hackern.
    Carter CC HEC Five und Myspace Pages.
  • 13:16 - 13:21
    Die Idee war, zuerst einen
    Algorithmus für maschinelles Lernen
  • 13:21 - 13:23
    zu verwenden und etwas
    herauszufinden, das kläglich scheiterte.
  • 13:24 - 13:29
    Und danach habe ich etwas namens
    Cwing erstellt, was die folgende Idee ist.
  • 13:30 - 13:34
    Erstellen Sie einfach einen Klassifizierer für
    jede, identifizierte Kennwortklasse.
  • 13:34 - 13:38
    Sie können nicht alle
    Passwörter klassifizieren.
  • 13:38 - 13:40
    Sie können nicht herausfinden,
    wie alle Passwörter erstellt werden.
  • 13:40 - 13:41
    Lassen Sie uns einfach
    eine Untergruppe sehen.
  • 13:43 - 13:45
    Erstellen Sie einen Klassifikator,
    der eine Teilmenge identifizieren kann.
  • 13:47 - 13:53
    Und dann für jeden der Klassen
    erstellen Sie einen Klassifikator,
  • 13:53 - 13:58
    entscheiden, welche wahrscheinlich
    die richtigsten sind, welche richtig
  • 13:58 - 14:00
    waren, und dann alles in ein Format
    konvertieren, dass eine Analyse ermöglicht.
  • 14:00 - 14:04
    Dies sind einige,
    Passwortklassen, die ich identifiziert habe.
  • 14:04 - 14:06
    Schwache Muster, wie nur
    einige Buchstaben auf der Tastatur,
  • 14:06 - 14:10
    Tastaturmuster. Einige Passwörter, die ich genommen habe.
  • 14:11 - 14:14
    Wo ich dachte, sie seinen wirklich stark,
    waren in Wirklichkeit nur Tastaturmuster
  • 14:14 - 14:19
    und das Pseudozufällige
    Passwort, das Sie auf den ersten drei
  • 14:19 - 14:21
    oder vier Folien gesehen haben, war tatsächlich ein Tastaturmuster.
  • 14:21 - 14:25
    Es sieht aus wie ein wirklich starkes Passwort, Es wird jedoch
  • 14:25 - 14:28
    erstellt, indem Tasten auf sequentielle Weise auf der Tastatur gefolgt werden.
  • 14:29 - 14:31
    Sie können
    alle möglichen Sachen sehen.
  • 14:31 - 14:35
    Mutation, das ist alles,
    was das Wort ändert
  • 14:35 - 14:38
    O in null, ändern I in eins und so weiter.
  • 14:38 - 14:38
    Oder Kombination.
  • 14:38 - 14:42
    Kombinieren Sie einfach ein paar
    Wörter, kombinieren Sie ein paar Elemente
  • 14:42 - 14:45
    oder verwenden Sie einfach Elemente.
  • 14:45 - 14:49
    Jeder dieser Klassifizierer kann iteriert werden
    und Sie können Passwörter auseinander reißen.
  • 14:51 - 14:54
    Das zweite Problem ist beispielsweise
    die Identifizierung von Sprachen.
  • 14:55 - 14:59
    Wenn Sie Sicherheit sagen, wissen Sie,
    dass es in allen Sprachen beliebt ist, aber
  • 14:59 - 15:04
    wie können Sie sagen, wenn Sie so etwas
    wie Plaza sagen, was ist das?
  • 15:04 - 15:06
    Wie können Sie dieses Wort identifizieren?
  • 15:06 - 15:10
    Wenn Sie also eine gute
    Wortliste wünschen, können Sie
  • 15:10 - 15:11
    sich einfach nicht auf Dinge verlassen, die verfügbar sind.
  • 15:12 - 15:14
    Zunächst einmal Google
    und Gram Corpus ist zu groß.
  • 15:15 - 15:19
    Das Gleiche wie bei Han Buchstaben und einem
    Buchstaben, der auf einer Sache scheitert.
  • 15:20 - 15:24
    Personen erstellen keine Passwörter mit grammatikalisch korrekten Sätze.
  • 15:25 - 15:26
    Sie verwenden alle möglichen Sachen.
  • 15:26 - 15:33
    Zum Beispiel, Info über Dinge aus einer beliebten Serie wie Namen
  • 15:33 - 15:39
    von Charakteren, Namen von Orten
    von populären Büchern oder so weiter.
  • 15:40 - 15:46
    Eine ideale Quelle ist also Wikipedia, Weil Wikipedia alle Arten von
  • 15:46 - 15:51
    Artikeln hat, die nicht wirklich an
    die Sprache gebunden sind, oder?
  • 15:52 - 15:56
    Also habe ich Englisch abgeladen, Deutsch, Kroatische,
  • 15:56 - 15:58
    Frankreich, Spanisch, Italienisch und niederländische Wikipedia.
  • 15:59 - 16:03
    Und das erstellte eine
    große Passwortliste, mit der
  • 16:03 - 16:07
    Charaktere identifiziert und Wikipedia verbessert werden können.
  • 16:08 - 16:14
    Google, Wikipedia
    hat ungefähr 84 Hauptkategorien,
    die identifiziert wurden
  • 16:14 - 16:21
    und sie verwendenten diese Kategorien, um 51.
    Ergebnisse von Google zu scrapen, um den Wikipedia-Dump zu
    verbessern.
  • 16:22 - 16:27
    Um Ihnen das Erstellen von Kennwortlisten aus
  • 16:27 - 16:31
    Google-Suchanfragen zu ermöglichen, habe ich ein kleines Skript namens G Word-Liste erstellt.
    Dadurch werden die
  • 16:31 - 16:35
    Google-Ergebnisse von Top-Ends basierend auf Schlüsselwörtern
    oder Google-Dorks oder Google-Hacks erfasst
  • 16:35 - 16:37
    ,wie Sie sie nennen möchten, was Sie eingeben können.
  • 16:37 - 16:38
    Ähm.
  • 16:38 - 16:42
    Dies erstellt auch eine Wortliste basierend
    auf dem Vorkommen, das Sie einfach in ein,
  • 16:42 - 16:46
    passwort knack Tool oder alles andere, das Sie
    gewünscht haben, einfach einleiten können.
  • 16:47 - 16:48
    Warum brauchst du das?
  • 16:49 - 16:52
    Denn normalerweise, wenn Sie das verwenden, Es wird
  • 16:52 - 16:54
    effektiver sein, als wenn Sie eine generische Wortliste verwenden.
  • 16:55 - 16:59
    Wenn Sie Sicherheitsforscher
    angreifen, können Sie beispielsweise
  • 16:59 - 17:04
    diese Daten verwenden, die Spezifische
  • 17:04 - 17:06
    Informationen oder spezifische Schlüsselwörter, die sie verwenden könnten, oder?
  • 17:09 - 17:15
    Natürlich können Sie wiederholen,
    Sie können die resultierende Liste
  • 17:15 - 17:17
    aufnehmen und dann wieder aufnehmen und eine noch größere Liste erstellen.
  • 17:18 - 17:20
    Das ist ein iterativer Ansatz.
  • 17:20 - 17:24
    Zunächst identifizieren Sie bekannte
    Elemente mit täuschendem Algorithmus bekannt sind.
  • 17:24 - 17:28
    Sie erstellen eine Regel, die die
    Komposition ist, und sammeln alle
  • 17:28 - 17:31
    Daten, wie
    eine Person das Passwort erstellt hat.
  • 17:31 - 17:36
    Welche Wörter benutzte er, welche Zahlen,
    welche Ersetzungen, welche Mutationen, alles.
  • 17:37 - 17:40
    Wenn Sie etwas unbekannt,
    gespeichert haben, analysieren
  • 17:40 - 17:41
    Sie es später und erstellen Sie einen neuen Klassifikator.
  • 17:42 - 17:46
    Und wenn Sie fertig sind,
    haben Sie eine Reihe von
  • 17:46 - 17:48
    Klassifizierern und Algorithmus,
    die sie klassifizieren können.
  • 17:50 - 17:52
    In der Praxis sieht das so aus.
  • 17:52 - 17:55
    Sie setzen also etwas, das wie
    ein starkes Passwort aussieht, und
  • 17:55 - 17:56
    es wird Ihnen sagen, dass es
    sich um ein Tastaturmuster handelt.
  • 17:57 - 18:00
    Wenn Sie sich Ihre Tastatur
    ansehen, werden Sie sehen, dass
  • 18:00 - 18:03
    jemand gerade sequentielle Tasten
    auf der Tastatur eingegeben hat und shift gedrückt hat.
  • 18:03 - 18:05
    Beispielsweise
  • 18:05 - 18:09
    Andere schwache Muster können
    identifiziert werden, und Sie können
  • 18:09 - 18:11
    sehen, wie Menschen sie erstellen,
    oder ein kompliziertes Passwort, so etwas.
  • 18:12 - 18:16
    Es wird zerlegt und Sie werden
    alle Elemente des Kennworts
  • 18:16 - 18:22
    identifizieren, die als Regel für Unhash niedergeschrieben werden können.
  • 18:22 - 18:23
    Also.
  • 18:23 - 18:28
    In diesem Jahr, das Sie sehen, ist
    eine echte Regel für das Unhash-Tool, das
  • 18:28 - 18:34
    ausgeführt werden kann und es wird beispielsweise dazu führen, dass
  • 18:34 - 18:39
    numlen4 ein Wörterbuch ist von
    Zahlen, die mit vier im Wörterbuch verbunden sind.
  • 18:39 - 18:42
    Mit 11 verknüpft sind alle
    Wörter, die verknüpft sind mit 11.
  • 18:43 - 18:44
    R ist Ersatz.
  • 18:44 - 18:46
    Ersetzen Sie mich durch eins.
  • 18:46 - 18:53
    Ersetzen Sie O durch Null und Str-len-4 ist ein Wörterbuch mit allen Länge.
  • 18:53 - 18:53
    Vier.
  • 18:54 - 18:59
    Im Data Mining -Prozess, als der Algorithmus
    die Kennwörter täuschte, habe ich alle Daten gesammelt.
  • 18:59 - 19:00
    Beispielsweise
  • 19:00 - 19:04
    Alle Zahlen, die,
    Fremdverbunden wurden gesammelt.
  • 19:04 - 19:10
    Und danach haben Sie eine Wortliste, die
    auf dem Auftreten der am besten verwendeten Zahlen basiert.
  • 19:10 - 19:15
    wie Menschen; die
    Wahrscheinlichkeit, das jemand sie verwenden wird?
  • 19:15 - 19:19
    Die Zahlenregeln sollen in einem
    Hash ausdruckbar sein, und Sie
  • 19:19 - 19:23
    können eine beliebige Kombination
    aus Word -Listen, Zeichenfolgen,
  • 19:23 - 19:26
    Generatoren und beliebigen Kombinationen, die Sie möchten, verwenden.
  • 19:27 - 19:29
    Generieren Sie Kandidatenkennwörter.
  • 19:29 - 19:34
    Sie können Ersätze hinzufügen, Sie können das Großschreibung mit oder ohne Permutationen hinzufügen.
  • 19:34 - 19:38
    Zum Beispiel, wenn
    Sie ein Passwort haben möchten
  • 19:38 - 19:40
    und wenn Sie S auf fünf ändern möchten.
  • 19:41 - 19:43
    Wirst du alle s ändern?
  • 19:43 - 19:44
    Wirst du keine ändern?
  • 19:44 - 19:48
    Wechseln Sie nur den ersten oder nur
    die zweite. Wenn Sie es zulassen möchten,
  • 19:48 - 19:51
    müssen sie nicht mehrere Regeln schreiben,
    um einen solchen Prozess zu beschreiben.
  • 19:51 - 19:55
    Sie müssen nur eine
    Flagge sagen und es wird
  • 19:55 - 19:57
    es allen möglichen Ersatzpermutationen zulassen.
  • 19:58 - 20:02
    Und Sie können auch Ihre eigenen
    Python Funktionen oder Ausdrücke schreiben.
  • 20:04 - 20:09
    Der Vorteil von Unhash-Regeln besteht darin, dass Sie
    jede Word-Liste verwenden können, die Ihnen gefällt.
  • 20:10 - 20:15
    Sie haben solche, die mit Unhash verschickt werden, und das
  • 20:15 - 20:18
    von Data Mining für das 33-Millionen-Passwort-Set generiert wurde.
  • 20:18 - 20:21
    Sie können die Google Word-Liste verwenden, zum Erstellen
  • 20:22 - 20:28
    von Zusätzliche Kennwörter, die durch scrapen
    einiger Schlüsselwörter von Google erfolgen.
  • 20:28 - 20:29
    Oder Sie können Ihre eigenen verwenden.
  • 20:29 - 20:33
    Ich schlage vor, Sie kombinieren die ersten
    beiden Methoden, Ergebnisse scrapen
  • 20:33 - 20:38
    von Google mit G-Wortliste und verwenden
    diejenigen, die mit Unhash geliefert werden.
  • 20:39 - 20:41
    Der Anwendungsfall
    hier ist ziemlich einfach.
  • 20:42 - 20:46
    Das Tool wurde erstellt, um
    Regeldateien ausführen zu können.
  • 20:46 - 20:50
    Und Sie können es in ein
    beliebtes Kennwort-Cracking
  • 20:50 - 20:52
    -Programm wie John the Ripper -Hash-Cat oder ähnliches übergeben.
  • 20:53 - 20:56
    Der interessante Teil hier
    ist, wenn Sie sich GitHub ansehen,
  • 20:56 - 21:00
    was einige von Ihnen bereits
    tun, werden Sie sehen, dass es
  • 21:00 - 21:02
    wahrscheinlich der abscheulichste Code ist, den Sie je gesehen haben.
  • 21:02 - 21:06
    Aber wenn es hier einige
    Python-experten gibt, die wissen,
  • 21:06 - 21:08
    wie man es schneller macht, bin ich offen für Vorschläge.
  • 21:08 - 21:13
    Der interessante Teil ist, dass ich PyPy verwendet
    habe, was dank dem Schöpfer von
  • 21:13 - 21:19
    PyPY, für den Algorithmus tatsächlich
    eine schnellere Laufzeit ermöglicht.
  • 21:19 - 21:23
    Einige Ergebnisse sind.
  • 21:23 - 21:27
    Ich werde ein paar Wörter später über
    den Vergleich der Ergebnisse erzählen.
  • 21:28 - 21:33
    Wenn Sie ein normales Brute -Forcing -Programm verwenden,
    wird normalerweise eine Menge
  • 21:33 - 21:35
    von Passwörtern in einiger Zeit aufgedeckt.
  • 21:35 - 21:40
    Ich habe 24 Stunden als
    Messelement verwendet und.
  • 21:41 - 21:42
    Was habe ich getan?
  • 21:42 - 21:47
    Ich verwendete Unhash mit der Google Word-Liste. Und verwendete Google Word-Liste zum
  • 21:47 - 21:50
    erstellen einer Wortliste, die gecraped wird,
  • 21:50 - 21:53
    ,basierend auf Top 10 Seiten von
  • 21:53 - 21:57
    Keywords wie LinkedIn, wie Business
    Recruiting, Networking, Jobkontakte,
  • 21:58 - 22:04
    und verwendete diese Liste in Kombination
    mit der Datenverstandsliste. Und
  • 22:04 - 22:08
    Sie können sehen, dass Sie bei Ihnen mindestens
    20% bessere Ergebnisse erzielen können.
  • 22:09 - 22:10
    Wenn Sie diesen Ansatz hinzufügen.
  • 22:10 - 22:10
    Warum?
  • 22:11 - 22:12
    Weil Brute forcing,
  • 22:19 - 22:25
    Durch Brute Forcing können Sie viel mehr
    kurze Passwörter aufdecken, die komplex sind.
  • 22:25 - 22:30
    Dieses Tool scheitert also, wenn Sie ein
    Passwort haben, das pseudo zufällig aussieht.
  • 22:31 - 22:32
    Aber wenn Sie ein Passwort haben, dass
  • 22:33 - 22:38
    Basierend auf Kombinationen hilft Mutationen
    wie die, die ich zuvor gezeigt habe,
  • 22:38 - 22:40
    und kann diese Art von Ansatz wirklich helfen.
  • 22:41 - 22:44
    Wenn Sie hier längere
    Passwörter sehen, werden
  • 22:44 - 22:47
    durch diesen Ansatz ziemlich besser aufgedeckt.
  • 22:47 - 22:52
    Denken Sie zuerst nicht, denken Sie nicht Unhash ist
  • 22:52 - 22:53
    besser als John Deer Ripper, Hash Cat, Hash Kell.
  • 22:53 - 22:59
    Diese Tools sind fantastisch
    und Solardesigner Hash Cat-Team
  • 22:59 - 23:02
    und, Gateway von H Hash Kell machen einen äußerst tollen Job.
  • 23:02 - 23:05
    Es wird nur das richtige Werkzeug
    für den richtigen Job verwendet.
  • 23:05 - 23:10
    Dies klingt hier, hört sich vielleicht ein
    bisschen kompliziert, aber Sie können
  • 23:10 - 23:13
    auf Github die Beispieldateien finden,
    die Sie in allen Regeldateien finden
  • 23:14 - 23:15
    können, und Sie können sie einfach nur ausführen und es wird seine Magie erledigen.
  • 23:16 - 23:17
    Ähm.
  • 23:18 - 23:20
    Das sind noch zwei
    verschiedene Anwendungsfälle.
  • 23:21 - 23:27
    Wenn Sie einen GPU -Cluster
    haben, mit der GPU machen ist der
  • 23:27 - 23:29
    König oder wenn Sie ein, FPGA-Board oder so was anderes haben.
  • 23:30 - 23:36
    Wenn Sie für langsame Hashes testen möchten, wie
    B Crypt, S Skript PBKDF Two
  • 23:36 - 23:42
    und Sie können sich keine große Anzahl
    von Vergleichen leisten, da der Cracking
  • 23:42 - 23:45
    -Prozess langsam ist, dann versuchen Sie diesen Ansatz und vielleicht hilft es.
  • 23:45 - 23:48
    Das hilft auch bei Passwort-Phrasen.
  • 23:48 - 23:52
    Sie wissen, ein Teil einer Passwort-Phrase,
    wissen Sie, wie die Passwort-Phrasen erzeugt wurde.
  • 23:52 - 23:54
    Wie viele Wörter hat es?
  • 23:54 - 23:59
    Sie können es dann einfach
    brut forcen, oder in
  • 23:59 - 24:01
    benutzerdefinierten Tests oder in benutzerdefinierten Werkzeugen.
  • 24:04 - 24:08
    Eine Sache, die ich sehe, dass datenzentrische
    Ansätze wirklich interessant sind.
  • 24:08 - 24:11
    Versuchen Sie zu experimentieren und etwas
    Interessantes aufzubauen. Wenn ich bauen meine.
  • 24:12 - 24:14
    bitte seien Sie nicht böse.
  • 24:15 - 24:16
    Es ist auf GitHub erhältlich.
  • 24:16 - 24:17
    Es ist einfach zu bedienen.
  • 24:17 - 24:18
    Probieren Sie es aus.
  • 24:19 - 24:21
    Und natürlich sind Mitwirkende
    und Forscher willkommen.
  • 24:22 - 24:27
    Und natürlich war ich etwas kürzer, also können
    Sie mehr Zeit für Q und A haben, weil wenn
  • 24:27 - 24:31
    Jemand ist wirklich interessant dieses Thema,
    Ich denke, er hat einige Fragen zu stellen.
  • 24:32 - 24:34
    Sie haben also meinen Twitter -Konto hier.
  • 24:34 - 24:37
    Sie haben meine E-Mail, Sie
    haben den Github-Link und.
  • 24:38 - 24:40
    Ich bin offen für Fragen.
  • 24:51 - 24:52
    Vielen Dank für das Gespräch.
  • 24:53 - 24:54
    Für Folgefragen.
  • 24:54 - 24:56
    Bitte stellen Sie sich vor
    den Mikrofonen im Raum auf.
  • 24:57 - 24:59
    Gibt es Fragen aus dem Internet?
  • 25:00 - 25:01
    Nein, es gibt keine
    Fragen aus dem Internet.
  • 25:01 - 25:01
    Okay.
  • 25:02 - 25:03
    Äh.
  • 25:07 - 25:09
    Fragen und Kommentare im Raum
  • 25:14 - 25:14
    auf fünf?
  • 25:14 - 25:15
    Ja, sicher.
  • 25:16 - 25:19
    Sie sagten, dass Sie Probleme hatten, einen
    Algorithmus für maschinelles Lernen zu verwenden.
  • 25:19 - 25:23
    Ich frage mich nur, ob Sie erklären oder näher
    darauf eingehen können, warum das so war.
  • 25:23 - 25:27
    Das lag daran, dass Algorithmen
    für maschinelles Lernen.
  • 25:27 - 25:31
    Waren Dinge, die ich getestet habe, aber
    nicht wirklich gut geeignet waren, weil es gibt
  • 25:31 - 25:33
    Wirklich viele Klassen von Passwörtern.
  • 25:34 - 25:36
    Es ist also das klassische
    Problem des Übertrainings.
  • 25:36 - 25:41
    Sie trainieren Ihren Algorithmus für
    maschinelles Lernen, um einen Teil der Geschichte herauszufinden,
  • 25:41 - 25:45
    wie eine Klasse von gelernten Passwörtern. Und dann wird es am anderen scheitern.
  • 25:45 - 25:53
    Eine Sache, die Sie tun können, ist, so etwas wie zufällige
    Kraft zu versuchen, aber sie haben nicht genug gute Klassifizierung gegeben.
  • 25:53 - 26:02
    Oder das zweite, was Sie tun können, ist so etwas wie ein Komitee der Maschinen. Der Cwing -Algorithmus ist, ziemlich vom Komitee der Maschinen inspiriert
  • 26:02 - 26:06
    Im zufälligen Forest -Ansatz,
    da es viel einfacher ist, einen
  • 26:06 - 26:10
    Klassifikator für eine Art
    Passwort zu erstellen, da Sie dann
  • 26:10 - 26:12
    auch Beiträge zum Erstellen von Kennwörtern erhalten können.
  • 26:13 - 26:19
    Sie können, ziemlich komplexere
    Ideen, wie man Passwörter klassifiziert.
  • 26:19 - 26:23
    Was ist zum Beispiel, wenn jemand eine
    Passwort-Phrase erstellt und dann jeden
  • 26:23 - 26:28
    ersten Buchstaben aus der Passwort-Phrase nimmt. Wie will der das klassifizieren?
  • 26:28 - 26:32
    Mit dem täuschenden Algorithmus
    können Sie dies jedoch ziemlich
  • 26:32 - 26:36
    einfacher klassifizieren, da Sie
    einen Klassifikator schreiben können,
  • 26:36 - 26:38
    der ein Ergebnis dafür liefert und Ihnen eine Wahrscheinlichkeitsbewertung gibt.
  • 26:38 - 26:40
    Ist es besser oder nicht?
  • 26:40 - 26:41
    Äh, besser als etwas anderes, oder?
  • 26:41 - 26:41
    Aber.
  • 26:42 - 26:46
    Nimmt Ihr Cwing-Algorithmus an, dass
    die Kennwortklassen unabhängig sind?
  • 26:46 - 26:47
    Ja.
  • 26:47 - 26:52
    Die Passwortklassen sind unabhängig, weil jemand nur Elemente kombiniert.
  • 26:52 - 26:55
    Jemand verwendet Tastaturmuster, Jemand
  • 26:55 - 26:58
    kombineniert und ersetzt Zeichen.
  • 26:58 - 27:01
    Jemand benutzt nur ein Wörter
    und ersetzt ein paar Wörter.
  • 27:01 - 27:04
    Das sind alles unabhängige
    Klassen, die, deshalb ist es
  • 27:04 - 27:06
    ziemlich einfacher, das zu tun.
  • 27:09 - 27:10
    Mikrofon 1.
  • 27:11 - 27:11
    Hallo.
  • 27:11 - 27:16
    Ich habe mich gefragt, ob Unhash,
    auch berücksichtigt, wie
  • 27:17 - 27:22
    bestimmte Zielattribute wie, Muttersprache, wie,
  • 27:24 - 27:25
    Und und andere Dinge.
  • 27:25 - 27:31
    Und, können Sie auch
    ein Tool verwenden, um die Website
  • 27:31 - 27:35
    des Ziels oder ähnliches zu scrapen,
    um es der Wortliste hinzuzufügen.
  • 27:35 - 27:35
    Ja.
  • 27:35 - 27:37
    Und machen Sie es zielgerichteter.
  • 27:37 - 27:39
    Und ist es dazu in der Lage, das zu tun?
  • 27:39 - 27:44
    Der erste Teil ist der Teil des maschinellen
    Lernens. Was ich getan habe ist, dass es auf diesen Wörterbüchern
  • 27:44 - 27:49
    beruhte, Englisch, Deutsch, Kroatisch, Frankreich, Spanisch, Italienisch und Holländer.
  • 27:50 - 27:53
    Die Regeln werden also von
    diesen Hauptstücken abgeleitet.
  • 27:53 - 27:54
    Klassen.
  • 27:54 - 27:59
    Das Scraping, das Sie mit einem aktiven G-Word-Listen-Tool durchführen können, das aktiviert ist.
  • 27:59 - 28:01
    Sie können beispielsweise
    Google-Dokumente schreiben.
  • 28:01 - 28:08
    Sie können N-Schlüsselwörter schreiben und Seitenspalten hinzufügen. Eine Spalte wie NL, und
  • 28:08 - 28:12
    Sie können mehrere Einträge von Schlüsselwörtern
    mit Seiten-NL hinzufügen. Und es wird
  • 28:12 - 28:16
    ihm nur sagen, dass er top hundert scrapen kratzen
    wird, und Sie erhalten eine Wortliste, die ist
  • 28:16 - 28:18
    Nur Niederländisch für
    diese Schlüsselwörter.
  • 28:19 - 28:22
    Es funktioniert in UTF 8, also werden
    Sie keine Probleme haben.
  • 28:23 - 28:28
    Sie können die resultierende Wortliste aus
    der G-Wortliste mit dem Unhash-Tool verwenden.
  • 28:29 - 28:32
    Das ist der Punkt, den
    wir hier nehmen wollen.
  • 28:32 - 28:33
    Sie können die Ergebnisse
    aus dem Netz scrapen.
  • 28:33 - 28:37
    Sie können scrapen mit der
    G-Wortliste, die Google verwendet.
  • 28:37 - 28:39
    Sie können alle gewünschten
    Google-Dorks verwenden.
  • 28:40 - 28:44
    Zum Beispiel,
    die Reduzierung der Suche in ein
  • 28:44 - 28:47
    bestimmtes Land und reduziert es auf eine Reihe von Schlüsselwörtern.
  • 28:48 - 28:49
    Ihm sagen Okay,
  • 28:49 - 28:56
    scrapen Sie 500 Websites auf und dann können Sie
    es für die frei verfügbaren Regeln verwenden.
  • 28:56 - 29:00
    Und und, noch etwas über, das implementieren möglichen Richtlinien.
  • 29:00 - 29:04
    Sie können auf einer Seite sehen, Sie haben diese Richtlinie, also müssten
  • 29:04 - 29:09
    Sie eins verwenden, Großbuchstaben eins, besonderes Zeichen oder solche Dinge.
  • 29:09 - 29:13
    Ist dies auch
    implementiert oder sollten wir nur
  • 29:13 - 29:18
    schreiben, rex schreiben, um Die Passwörter in der Liste herauszufiltern.
  • 29:18 - 29:21
    Zuerst, können Sie die Regeln abfiltern.
  • 29:21 - 29:25
    Es ist ziemlich einfach zu schreiben,
    Um zu sehen, welche Regeln
  • 29:25 - 29:31
    nicht von den Kennwortklassen oder
    der Passwortrichtlinie abgedeckt werden.
  • 29:31 - 29:34
    Sie sehen dass an der Länge, Sie können
    sehen, ob es einen Ersatz hat oder nicht.
  • 29:34 - 29:39
    Wenn es ein besonderes Zeichen erfordert, können sie nur
  • 29:39 - 29:40
    die Regeln, die keinen bestimmtes Zeichen haben, umkehren.
  • 29:40 - 29:41
    Richtig.
  • 29:42 - 29:46
    Sie können es also für jede Art
    von Angriff, die Sie möchten, so gut wie möglich individualisieren.
  • 29:46 - 29:51
    Dies war
    der Punkt hinter Unhash, dass Sie
  • 29:51 - 29:53
    es an jede Art von Anwendungsfall anpassen können, die Sie möchten.
  • 29:54 - 29:59
    Es ist, wie ich bereits sagte. Es ist kein Ersatz für
  • 29:59 - 30:01
    John Ripper Hash Cat oder irgendetwas anderes.
  • 30:01 - 30:05
    Das sind großartige Werkzeuge für Brute
    -Forcing und für das richtige. Aber dies ist
  • 30:05 - 30:10
    interessanter, wenn Sie einen Angriff
    auf eine Passphrase auf einem langsamen
  • 30:10 - 30:13
    Hash durchführen möchten, wenn Sie einfach eine bestimmte Wörtermenge testen möchten.
  • 30:13 - 30:18
    Wie Sie haben Sie eine Wortliste,
    die medizinisch ist, und Sie
  • 30:18 - 30:22
    möchten, dass Sie beispielsweise
    einen Stifttest auf einer medizinischen
  • 30:22 - 30:27
    Einrichtung und Sie möchten medizinische spezifische
    Wörter verwenden. Sie können einfach
  • 30:27 - 30:31
    G-Wöterliste verwenden, um sie zu scrapen und dann
    mit Unhash-Regeln zu verwenden, oder?
  • 30:32 - 30:32
    Ja.
  • 30:32 - 30:36
    Es wäre schön, eine webbasierte Implementierung
    eines wortlosen Generators zu sehen.
  • 30:36 - 30:40
    Also, du sagst mir, ich
    sollte keinen Cloud-Cracking-Dienst erstellen, richtig.
  • 30:41 - 30:44
    auf der wortlosen Cloud-Generation.
  • 30:45 - 30:45
    Okay.
  • 30:45 - 30:46
    Gute Idee.
  • 30:47 - 30:50
    Äh, Leute, wenn Sie das Zimmer verlassen
    möchten, machen Sie das bitte leiser.
  • 30:50 - 30:52
    Es ist nicht so schwer.
  • 30:52 - 30:55
    Mikrofon 4 für die letzte Frage.
  • 30:55 - 30:56
    Danke für den Vortrag.
  • 30:56 - 30:57
    Kurze Frage.
  • 30:57 - 31:02
    Sie haben für einen Fall einen
    Leistungsgewinn von 23%gezeigt. Haben Sie andere Instanzen ausgeführt
  • 31:02 - 31:05
    und haben Sie Metriken für mögliche Leistungsgewinne?
  • 31:05 - 31:06
    Okay, die.
  • 31:07 - 31:10
    Mögliche Leistungssteigerungen
    sind wirklich schwer korrekt zu messen.
  • 31:10 - 31:13
    Deshalb sagte ich nicht, dass dies
    besser ist als John oder Hash Cat oder
  • 31:13 - 31:16
    irgendetwas anderes, weil es von der
    Passwortliste abhängt, um zu gewinnen.
  • 31:16 - 31:21
    Wenn beispielsweise einige
    allgemeine Passwortlisten waren, und wie ich bereits
  • 31:21 - 31:25
    sagte, sind die Forschungsdaten schwer zu
    erhalten, da es keine wirklich großes Passwort-Listen
  • 31:25 - 31:31
    mit Häufigkeiten gibt, die eine gleiche Anzahl
    guter Benutzer hat.
  • 31:33 - 31:37
    Die, wie sollte ich sagen, sicherheitsbewusst sind,
  • 31:37 - 31:40
    die harte Passwörter und einen normalen Benutzertyp verwenden.
  • 31:40 - 31:44
    Also, ich benutze 24
    Stunden als symmetrisch,
  • 31:44 - 31:45
    weil Sie viele Experimente durchführen müssen.
  • 31:45 - 31:51
    Jedes Experiment dauert einen Tag und dies ist wahrscheinlich die Zeit, in der jemand
  • 31:51 - 31:56
    Pen-tests ohne Cluster versucht, ohne alle schwachen Passwörter, oder?
  • 31:57 - 32:01
    Deshalb habe ich große Passwort-Listen beim testen verwendet.
  • 32:01 - 32:03
    Beispielsweise LinkedIn,
  • 32:04 - 32:09
    beispielsweise Yahoo Passwort,
    Eltie Hackers und so weiter.
  • 32:09 - 32:10
    Danke schön.
  • 32:13 - 32:14
    Vielen Dank, Tony.
  • 32:14 - 32:17
    Bitte geben Sie ihnen viel Applaus für seinen
  • 32:17 - 32:18
    Vortrag, welchen ich tatsächlich für ziemlich großartig hielt.
    [Translated by Vithushan Elankumaran (KYBS2004 course assignment at JYU.FI)]
  • Not Synced
Title:
https:/.../31c3-5966-en-UNHash_-_Methods_for_better_password_cracking_hd.mp4
Video Language:
English
Duration:
32:31

German subtitles

Incomplete

Revisions Compare revisions

Our website uses cookies for analysis purposes.