¿Hay alguna forma de verificar las listas de contraseñas crackeadas sin revelar mi contraseña?

7

Quiero verificar si mis distintas contraseñas están en listas de contraseñas dañadas, pero no quiero escribir las contraseñas en línea. Por ejemplo, prefiero desplazarme por una lista ordenada de contraseñas que se han combinado de todas las tablas de Rainbow y otras fuentes para ver si mis contraseñas favoritas están ahí. No quiero usar un motor de búsqueda porque hacerlo requeriría que escribiera mis contraseñas, revelándolas al operador del sitio o a los intermediarios. Podría descargar todas las tablas del arco iris, una por una, y buscarlas en mi computadora, pero eso es mucho trabajo.

¿Qué método (s) puedo usar para verificar mis contraseñas sin revelarlas?

    
pregunta Jeff 23.03.2017 - 00:00
fuente

4 respuestas

0

Usar con precaución

Pero puede escribir un pequeño programa que cree hashes diferentes de sus contraseñas y luego compárelas con los crackers / bases de datos en línea

Por ejemplo: puede crear un hash MD5 de su contraseña y luego enviar la versión hash a un sitio web como enlace para ver si devuelve el texto sin formato.

De esta manera, puedes verificar si alguna base de datos contiene tu hash sin revelar tu texto simple en caso de que no lo haga.

Nota: si usa un generador de hash en línea, almacenarán automáticamente su par de texto sin formato y hash en su base de datos si aún no está allí. Es por esto que hash antes, en caso de que no tengan ese par.

    
respondido por el nd510 23.03.2017 - 05:45
fuente
6

Necesitamos saber más sobre el motivo de su pregunta.

Si eres un administrador de sistemas o un auditor y quieres usar listas filtradas y diccionarios para verificar la fortaleza de las contraseñas de las personas antes de la aceptación , es decir una buena idea Los proyectos como zxcvbn que proporcionan una lista negra de contraseñas, además de un requisito de longitud, proporcionan al menos una garantía superficial de fortaleza.

Pero si, como suena, está haciendo esta pregunta para verificar la fortaleza de su propia contraseña personal , entonces debe reconsiderarlo. Si está generando la contraseña de manera adecuada, entonces ya debería saber lo difícil que es descifrar .

Si selecciona una contraseña segura (por ejemplo, 15 caracteres aleatorios o más) o una frase de contraseña segura (5 o más palabras aleatorias de un diccionario suficientemente largo de 10 K o más), entonces la fuerza de esa contraseña se basa únicamente en la pura Calcule cuántas combinaciones son posibles, y sabe que la probabilidad de que aparezca en cualquier lista es muy, muy baja.

Pero si su contraseña es 'JellyfishVacation2014 ", o un patrón de teclado, o su dirección de infancia hacia atrás, o cualquiera de las cientos de psicologías diferentes de no aleatoria selección de contraseña humana ... incluso Si su contraseña específica no aparece en un diccionario gigante, todavía es lo suficientemente débil como para caer en ataques de adivinación de contraseña bruta y fuerza bruta fuera de línea. Los intrusos de contraseñas conocen todos estos procesos de selección humana. de millones de cuentas se filtran cada año, la probabilidad de que su método de contraseña "favorito" sea único es muy baja.

En otras palabras, Principio de Kerkhoffs se aplica a la metodología de selección de contraseña. Si puede ser reacio a compartir exactamente cómo generó su contraseña, debe cambiar a un método diferente.

    
respondido por el Royce Williams 23.03.2017 - 02:11
fuente
4

Sé que esta pregunta es un poco vieja, pero las cosas cambian rápidamente (casi un año, jajaja).

Hay dos opciones que se me ocurren, una pierde un poco la marca y es la primera, la segunda golpea la marca y es la segunda. Siempre para su comodidad y no conozco su nivel de comodidad.

De todos modos, existe este sitio, enlace donde puede ingresar una dirección de correo electrónico para verificar el estado de la ID de usuario o ingresar una contraseña en el mismo campo para ver si se ha mostrado en un truco utilizado anteriormente.

No es exactamente lo que quieres, pero esto es, desde el mismo sitio, enlace que también tiene algunos ejemplos de código o Bastante fácil de codificar si te gusta. También ahora lo utiliza 1Password.com para que pueda verificar sus contraseñas a través del portal web, por ejemplo (hay otros: enlace ).

Esto no revela su contraseña. Envía un hash de su contraseña, solo los primeros 5 caracteres, luego ellos envían de vuelta una lista de 100 hashes que faltan los primeros 5 caracteres también,

A continuación, busca su total contra sus hashes de devolución. Si hay una coincidencia, la contraseña aparece en su base de datos.

Alguien "está mirando" los datos que van y vienen 1) no puede estar seguro de que su contraseña sea realmente 2) No puedo estar seguro de cuál es el hash de su contraseña, y 3) no tengo idea de quién es usted o qué nombre de usuario está asociado con.

Aquí está la publicación del blog anunciando el servicio. enlace

    
respondido por el IGotAHeadache 02.04.2018 - 00:13
fuente
1

@Royce William tiene la respuesta correcta aquí, ¿pero para responder específicamente a su pregunta sobre cómo verificar si su contraseña específica está en un diccionario de forma segura? No puedes.

La única opción sería descargar localmente una copia de los diccionarios más utilizados y comenzar a buscar las contraseñas comunes. Pero esto ya es una indicación de que su contraseña no es lo suficientemente segura como para pensar que es algo que debe hacer. Sin mencionar que muchos atacantes tienen listas que no están disponibles en línea; están personalizados o fueron robados en algunos de sus propios ataques.

La acción correcta es usar un administrador de contraseñas con una contraseña verdaderamente única y generada aleatoriamente para cada sitio que use. Esto evita que alguien obtenga su contraseña a través de fuerza bruta, pérdida de contraseña, hash débil en un sitio web defectuoso y, lo que es más importante, evita que alguien genere una lista de palabras única dirigida a usted personalmente.

    
respondido por el Andrew 24.03.2017 - 16:51
fuente

Lea otras preguntas en las etiquetas