¿Hay una manera fácil de registrar cuánto tiempo le lleva a John the Ripper descifrar las contraseñas?

Navega tus respuestas
0

Estamos realizando una auditoría de contraseña al cargar el archivo de contraseña en John y dejar que se ejecute durante un par de días.

Una de las primeras preguntas que recibí en la clase de remediación fue "¿Cuánto tiempo me tomó descifrar mi contraseña?" Según una calculadora de contraseñas que usó el individuo, su contraseña debería haber tardado más de un siglo en descifrar, pero John lo adivinó relativamente pronto.

Ahora, mi gerente me está pidiendo que registre cuánto tiempo lleva cada contraseña en la próxima ronda de auditoría, pero lo dejo correr cuando no estoy aquí para observar y registrar.

¿Alguna sugerencia sobre una forma de registrar el tiempo? Estoy haciendo esto en un clúster Kali Linux.

    
pregunta Eryn Kaeberle 15.12.2017 - 17:51
fuente

3 respuestas

3

John el destripador registra su actividad en la salida estándar. Si nota que se ha descifrado una contraseña, puede terminar la sesión con un ctrl-C.

El archivo de registro .john/john.log anotará las cuentas que se han descifrado, con una marca de tiempo. Supongo que para que 'Cracked' los suba.

    
respondido por el Dr. Edward Morbius 15.12.2017 - 23:00
fuente
0

Con respecto a las calculadoras de contraseñas, consulte aquí - enlace

  

Ahora, mi administrador me está pidiendo que registre cuánto tiempo lleva cada contraseña en la próxima ronda de auditoría

Esto es completamente inútil. Depende totalmente del enfoque utilizado. Con un ataque de diccionario usualmente usas una lista de contraseñas ordenadas alfabéticamente, lo que significa que la contraseña "zzz" sería una de las últimas contraseñas que alcanzaste (por lo tanto, más larga), mientras que la contraseña "aaalojryd", si está presente, sería una de las primeras.

Si utiliza una fuerza bruta ascendente, "mypassword1" tomaría un tiempo sustancialmente más largo que una contraseña de 9 caracteres completamente aleatoria.

También es muy dependiente del hardware.

  

¿Alguna sugerencia sobre una forma de registrar el tiempo?

Si usted (o su gerente) insisten en hacer esto, sugeriría que un enfoque lo suficientemente bueno sería estimar. Puede averiguar cómo el software está seleccionando las frases para tratar de averiguar a qué distancia del ciclo se tardaría en llegar a la frase encontrada. Luego, comparando esto con el tiempo total de ejecución, debería poder hacer una estimación razonable.

    
respondido por el Hector 15.12.2017 - 18:24
fuente
0

Tenga cuidado, especialmente si su usuario es importante. Intentan poner una trampa para ti, para desviar la culpa de su falta de preocupación por la seguridad.

Has descubierto su contraseña. Simplemente proporcione ese hecho a sus clientes y al equipo de seguridad. "Corrí un cracker de contraseñas ampliamente disponible y su contraseña fue una de las que se recuperó fácilmente".

No dejes que se salgan con la suya "pero te tomó dos días". Esa es la excusa más débil posible; especialmente porque muchos atacantes se esconden dentro de redes dañadas por un mes o más antes de filtrar sus datos.

    
respondido por el John Deters 15.12.2017 - 22:50
fuente

Lea otras preguntas en las etiquetas

¿Cómo evitar que mi sitio sea hackeado al aprender del registro del servidor? ¿Cuándo necesita una empresa contratar a un especialista en seguridad dedicado? [cerrado]