web-dev-qa-db-ja.com

パスワードを明かさずにクラックされたパスワードのリストを確認する方法はありますか?

さまざまなパスワードがクラックされたパスワードのリストに含まれているかどうかを確認したいのですが、パスワードをオンラインで入力したくありません。たとえば、すべてのRainbowテーブルと他のソースからマージされたパスワードの順序付きリストをスクロールして、お気に入りのパスワードがそこにあるかどうかを確認します。検索エンジンを使用したくないので、パスワードを入力する必要があり、サイト運営者や仲介業者にそれらを公開します。すべてのRainbowテーブルを1つずつダウンロードして、自分のコンピューターで検索することはできましたが、それは大変な作業です。

パスワードを明かさずにチェックするには、どのような方法を使用できますか?

passwordspassword-crackingrainbow-table
7
Jeff

注意して使用してください

しかし、パスワードの異なるハッシュを作成し、オンラインのクラッカー/データベースに対してそれらをチェックする小さなプログラムを書くことができます

たとえば、パスワードのMD5ハッシュを作成し、ハッシュ化したバージョンを http://md5online.org などのWebサイトに送信して、プレーンテキストが返されるかどうかを確認できます。

このようにして、データベースがハッシュを保持しているかどうかを確認できます。

注:オンラインハッシュジェネレーターを使用する場合、プレーンテキストとハッシュのペアがデータベースにまだない場合は、データベースに自動的に保存されます。これが、ペアがない場合に備えてハッシュする理由です。

0
nd510

私たちはあなたの質問の理由についてもっと知る必要があります。

あなたがシステム管理者または監査人で、リークされたリストと辞書を使用して、人々のパスワードの強度をチェックしたい場合受け入れ前、それは健全な考えです。 zxcvbn のようなプロジェクトでは、パスワードのブラックリストに加えて長さの要件があり、少なくとも大まかな強度が保証されています。

しかし、自分の個人パスワードの強度を確認するためにこの質問をしている場合は、再考する必要があります。パスワードを適切な方法で生成している場合は、クラックがどれほど難しいかを知っているはずです

強力なパスワード(たとえば、15文字以上のランダムな文字)または強力なパスフレーズ(10K以上の十分に長い辞書から5つ以上のランダムな単語)を選択した場合、そのパスワードの強さは純粋な計算方法にのみ依存します。多くの組み合わせが可能であり、リストに表示される可能性は非常に低いことを知っています。

しかし、パスワードが「JellyfishVacation2014」、キーボードパターン、または子供の頃のアドレスを逆にしたもの、または非ランダム人間のパスワード選択の何百もの異なる心理学の場合... あなたの特定のパスワードが巨大な辞書に現れなくても、それはまだオフラインのブルートフォースとハイブリッドパスワード推測攻撃に陥るのに十分弱いです。パスワードクラッカーはすべてを知っています毎年数億件のアカウントが漏洩した場合、「お気に入りの」パスワード方式がユニークである可能性は非常に低くなります。

つまり、 Kerkhoffs 'Principle はパスワード選択方法に適用されます。パスワードの生成方法を正確に共有したくない場合は、別の方法に切り替える必要があります。

6
Royce Williams

私はこの質問が少し古いことを知っていますが、物事は急速に変化します(ちょうど約1年前、笑)。

考えられる選択肢は2つあります。1つは少しマークを外して最初に、2つ目はマークをヒットして2番目です。便宜のために提供されており、あなたの快適さのレベルはわかりません。

とにかく、尊敬されているこのサイトがあります https://haveibeenpwned.com/ ここで、電子メールアドレスを入力してユーザーIDのステータスを確認したり、実際に同じフィールドにパスワードを入力して確認したりできます以前に使用されたハッキン​​グで表示された場合。

あなたが望むものではありませんが、これは同じサイトからのものです https://haveibeenpwned.com/API/v2 いくつかのコードサンプルがすでに出ているか、必要に応じてコーディングするのも簡単です。現在1Password.comでも使用されているため、たとえばWebポータルからパスワードを確認できます(他にもあります https://haveibeenpwned.com/API/Consumers )。

これはあなたのパスワードを明らかにしません。最初の5文字だけでパスワードのハッシュを送信すると、最初の5文字が欠落している100個程度のハッシュのリストも返されます。

次に、リターンハッシュに対してフルを調べます。一致する場合、パスワードがデータベースに表示されます。

誰かがデータを前後に「見て」いる1)パスワードが本当に本当であるかわからない2)パスワードのハッシュが本当は何であるかわからない3)あなたが誰であるか、どのユーザー名に関連付けられているのかわからないと。

これはサービスを発表したブログ投稿です https://www.troyhunt.com/ive-just-launched-pwned-passwords-version-2/

4
IGotAHeadache

@Royce Williamはここで正しい答えを持っていますが、特定のパスワードが辞書に安全にあるかどうかを確認する方法に関する質問に具体的に対処するために?できません。

唯一の選択肢は、最もよく使用される辞書のコピーをローカルにダウンロードし、一般的なパスワードを検索することです。しかし、これはあなたがこれがあなたがする必要があるものであるとさえ思っているなら、あなたのパスワードが十分に強力でないことをすでに示しています。言うまでもなく、多くの攻撃者はオンラインで利用できないリストを持っています。それらはカスタマイズされているか、独自の攻撃の一部で盗まれました。

適切なアクションは、使用するサイトごとに、ランダムに生成された本当にユニークなパスワードを持つパスワードマネージャーを使用することです。これにより、誰かがブルートフォース、パスワードの漏えい、悪質なWebサイトでの弱いハッシュによってパスワードを入手することを防ぎ、最も重要なことには、個人があなたをターゲットにした一意の単語リストを生成することを防ぎます。

1
Andrew