2つのWindowsメンバーサーバー(2003および2008)でパスワードを解読しようとしています。 Active Directoryはありません。各ユーザーは、サーバー、ワークステーションなどで同じパスワードを使用しているようです。サーバーを所有する会社から提供されたアカウントを介してサーバーにアクセスできます。他のアカウントを取得したいと考えています。
OphCrackでは、2008サーバーで生成されたpwdumpファイルを使用して、26個中18個のパスワードを解読しました。これらのパスワードは非常に単純でした(たとえば、名)。他のものはよりとらえどころのないことを証明しています。
予備のラップトップの最後の8つのアカウントでHash Suite Proを実行しています。
これを実行する他の方法についていくつかの提案をお願いします。ツール、取り締まりをスピードアップする方法など。かなりの高さで処理できる予算があります。
刑務所の時間に関しては、契約が有効で保護されている限り、多くの国でかなり安全です。英国では、この種のことの多くを行っています。主にパスワードの強度の監査です。私は法的助言をするつもりはありませんが、あなたの弁護士はこれについての契約に必要な文言を知っているべきです。英国では、Hold Harmlessの条件と責任の制限を使用しているため、コンピューターシステムにアクセスしているときに何かを壊したとしても、責任は負いません。
技術的には、パスワードの強度の要件がわかっていれば、どのようなテーブルやブルートフォースを扱う必要があるかがわかります。たとえば、最小長が8文字の場合、ブルートフォースは8文字で開始します。
すでにブルートフォース攻撃と辞書攻撃を防いでいる場合は、レインボーテーブルがおそらく唯一の選択肢です。 @rookが言うように、無料で入手できる場所がいくつかあります。ただし、最も一般的なのは有料テーブルまたはテーブル交換で、これまでの合計セットと引き換えに新しいテーブルを作成します。
あなたの話は奇妙です。 「会社の所有者」はなぜパスワードを解読しようとするのでしょうか?そのような努力を適切にする(すなわち、道徳的に受け入れられ、合法的に合格かつ追求される目標にふさわしい)状況は何でしょうか?私が考えることができる最も近いのは、一部のデータがパスワード派生キーでencryptedであり、パスワード所有者が利用できないか非協力的である場合です-そしてそれは詐欺の疑いのあるシナリオではなく、警察対テロリストのシナリオ。私の常識またはその欠如を検出する私の能力は、狂ったようにうずきます。あなたの状況には何か怪しいものがあります。
この貿易紛争と同じくらい些細なことに対する異常な恐怖を感じます。
私ができる最も良い説明は、「会社の所有者」がその会社の取引に決して法執行機関を巻き込まず、Swift Justice onヤクザで働いてもよろしいですか?10まで数える能力を維持することに関して、刑務所の時間は二次的な心配になる可能性があります。
つまり、Windowsシステムに格納されているパスワードハッシュは、 NTハッシュ を使用することになっています。これは、 MD4 の単純なアプリケーションです。パスワード(リトルエンディアンUTF-16でエンコード)。 MD4に対する最もよく知られているpreimage攻撃はまだ理論的なものだけです(2104、これは一般的に人類、特にあなたの手の届く範囲をはるかに超えているため、可能性のあるパスワードを試すという残忍な方法に戻ります。
優れたGPUを使用すると、1秒あたり約100億のパスワードを試すことができます。 Amazon Web Services で強力なハードウェアをレンタルできます。 "Vista eightXL" Ophcrackテーブルを検討すると、95文字のアルファベット(印刷可能な全体ASCII charset))に対して、8文字のパスワードの約99%をカバーすると主張している-約1前述のGPUでの1週間の計算。Rainbowテーブル自体の再構築は2週間で行われます。thatは1000 $の価値がありますか?
再び、ドアの下に魚がにじみ出て、大気に浸透します。
誰かのパスワードを破ることと彼が詐欺であるかどうかをチェックすることの関係は何ですか?そのような人の正式な通信を確認する場合は、そのためのパスワードを破る必要はありませんが、それがプライベートメールアカウントへの侵入に使用されている場合...倫理的な観点から、それが誰かの家に侵入することとどのように異なるのですか?
ただし、法的な問題については、質問を合法化する必要があります。倫理と法律の関係はさまざまです。宗教を批判したことで刑を宣告できる国もあります(サルマン・ラシュディの場合)。想像するのがさらに難しいのは、文書を印刷するために刑務所に行くことができる国です(Dmitry Sklyarovのケースを参照)。したがって、どの国で事業を行っているかを明記せずに質問に答えることはできません。中国の北朝鮮では政府に勤めている限り合法ですが、ヨーロッパではそのようなことはほとんどの場合あなたを犯罪者にします。
たとえばドイツでは、会社のサーバーに保存されている従業員のメールへのアクセスも特定の状況でのみ許可されています。 f.g.を参照してください: http://www.hldataprotection.com/2011/08/articles/employment-privacy/german-higher-labor-court-permits-employers-to-review-employees-emails/