Cuando mis clientes crean una contraseña, se les muestra un medidor de resistencia y he establecido los requisitos bastante altos. Sin embargo, el medidor de fuerza es esencialmente solo útil si es atacado por un cracker de fuerza bruta muy tonto. Sé a ciencia cierta que se pueden crear contraseñas que son más fáciles de descifrar con software como John the Ripper. Por ejemplo, es bastante fácil asegurarse de que la gente no esté creando contraseñas como "contraseña1", pero necesito encontrar términos comunes que no están en el diccionario como "NCC-1701-D" (el número de registro de Star Trek Enterprise) y otras cosas. que los crackers suelen buscar ("qwerty," asdf ", etc.). Tengo entendido que los programas de cracking mejoran a medida que tienen acceso a más contraseñas crackeadas (gracias LinkedIn, Evernote, LivingSocial ...) porque el cracker es capaz de comience con las contraseñas más comunes, e incluso busque "fragmentos de palabras" comunes dentro de las contraseñas y agréguelos al diccionario ...
Entonces, ¿cómo puedo obtener acceso a algunas de estas configuraciones avanzadas de John the Ripper? Sé que el programa en sí es gratuito de instalar, pero ¿cómo obtengo estos diccionarios construidos avanzados? Además, ¿cuáles son las implicaciones de seguridad de hackear mis propias cuentas? No puedo pensar en cómo esto podría ser realmente problemático, a menos que guarde las contraseñas descifradas en texto sin formato o algo así. ¿Me faltan algunos problemas obvios que esto introduciría?
EDITAR: Estoy pensando en generar mi propia tabla de arco iris para mi sal * y luego subir la lista de hashes. Luego, si el hash salado de un usuario coincide con uno de la tabla de arco iris, se les obliga a crear una nueva contraseña en su próximo inicio de sesión (o, mejor aún, se verifica con la tabla de arco iris cuando la crean por primera vez y se rechaza si hay un coincidencia, aunque no estoy seguro de que esto pueda ser computacionalmente demasiado costoso.)
* D'oh! Como se señala a continuación, no es así como funciona la salazón. ¿Existe alguna forma viable de verificar las contraseñas con una "lista negra de contraseñas" sin exponer la contraseña en el proceso?