Phiên bản mới nhất của hashcat, oclHashcat-plus v0.15, được tung ra vào hồi cuối tuần qua. Người đứng đầu nhóm phát triển Jens Steube phát biểu rằng đây là kết quả kéo dài hơn 6 tháng làm việc, và đã chỉnh sửa tổng cộng 618.473 dòng mã nguồn.
Hashcat là một công cụ bẻ khóa hoàn toàn miễn phí. Nó là một vũ khí nhắm vào 2 mục đích rõ ràng: có thể dùng để kiểm tra độ an ninh của mật khẩu của công ty, và cũng có thể được dùng bởi các tội phạm mạng để bẻ khóa những mật khậu bị đánh cắp. Một trong những điểm yếu lớn nhất của nó trước đây là hoàn toàn bất lực để đảm đương xử lý những mật khẩu có độ dài quá 15 ký tự: đến bây giờ thì phiên bản mới nhất có thể xử lý những loại mật khẩu có độ dài lên đến 55 ký tự.
Điều này là một trong những chức năng được yêu cầu cao nhất từ trước đến nay. Steube nhấn mạnh. " Chúng tôi đã cố thêm chức năng này , điều này cũng khiến chúng tôi phải gở bỏ một vài tối ưu hóa, kết quả là làm giảm hiệu suất trong giải thuật chương trình". Vì thế phiên bản mới cũng đi kèm một nhược điểm - hiệu suất để đạt đươc "trung bình khoảng độ 15%".
Thực tế thì điều này khong đáng lo ngại cho người dùng nhiều lắm. Nó là một công cụ bẻ khóa off-line, có nghĩa là nó bẻ khoá hàng loạt mật khẩu gián tiếp. Về mặt quản trị và kiểm soát, những danh sách đó sẽ được lấy từ máy chủ công ty. Về phía tội phạm mạng thì một có thể dùng những cách thông dụng hai là tạo một chương trình để lấy mật khẩu trực tuyến, chúng đều từ những mật khẩu bị lấy cắp.
Robin Wood, một chuyên gia về lãnh vực hacker mũ trắng, giải thích về việc dùng công cụ hashcat vào mục đích tốt. " Một trong những ứng dụng chính mà chương trình đem lại cho người dùng là chỉ cho khách hàng thấy được chính sách cần thiết cho việc đưa ra chính sách mật mã phức tạp", Anh ấy cũng chỉ ra thông tin bảo mật là. " Nếu tôi có được toàn bộ mã hash từ window domain tôi sẽ bẻ khóa được nhiều mật mã mà tôi có thể làm, sau đó phân tích chúng để tìm kiếm kiểu mẫu, độ dài, những từ được lập lại...". Wood là một nhà phát triển của Pipal, nơi sử dụng các nhà nghiên cứu về bảo mật để phân tích mật mã.
Một mũ đen khác sẽ sử dụng hashcat trong mục đích tương tự, hắn ta sẽ đánh cắp mật mã hay lấy chúng từ những cách thông dụng khác. hắn sẽ sử dụng hashcat trong một kiểu tương tự để lấy hàng loạt mật mã, nhưng sau đó hắn sẽ bẻ khóa mật mã để truy cập vào tài khoản người dùng - hoặc có thể bán các mật mã đã được bẻ khóa cho tội phạm mạng khác sử dụng chúng.
Những gì mà phiên bản mới của hashcat dẫn chứng là kích cỡ là không còn quan trọng nữa - mà ký tự sử dụng trong mật mã mới là vấn đề. Mặc dù độ dài là vận quan trọng, nhưng sự kết hợp những cụm ký tự và pha trộn những ký tự đặc biệt, con số và dấu chấm vẫn quan trọng hơn nhiều. Ars technica minh họa vấn đề rằng: Yiannis Chrysanthou đã bẻ khóa cụm mật mã ‘Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn1’, một chuỗi ký tự xuất phát từ một câu chuyện của tiểu thuyết gia kinh dị giả tưởng HP Lovecraft." Nhưng bởi vì cụm từ này chứa trong một bài từ trang Wikipedia, điều này cho phép Chrysanthou dễ bẻ khóa cụm từ này trong vài phút". Ars cảnh báo.
Người dùng nên xem xét việc sử dụng mộ chương trình quản lý mật mã, chẳng hạn Keepass, để tạo một mật mã đủ mạnh mà ko bị tìm thấy trong từ điển mật mã. Và dĩ nhiên, chúng nên dùng một mật mã độc nhất cho mỗi mật mã khác nhau của tài khoản trực tuyến, điều này thậm chí khi bị đánh cắp bởi hacker và bẻ khóa bởi hashcat, thì ít nhất cũng chỉ một tài khoản quản lý bị tổn hại mà thôi.
Theo www.infosecurity-magazine.com
No comments:
Post a Comment