loading...

Mais de um bilião de passwords já “crackadas” disponíveis na net para pesquisa livre

Hoje em dia, os investigadores de segurança pobres – isto é, aqueles que não têm um supercomputador à sua disposição – têm sérias dificuldades em conseguir “crackar” uma password.

Esse problema fica resolvido com este magnifico site que tem, à data deste post, um bilião e setecentos e oitenta e cinco milhões e setecentos e dezenove mil e cento e noventa e setepasswords decifradas. Para quem se perdeu nas contas, o número de passwords é 1785719197.

Imagina que te encontras numa empresa a fazer uma consultoria ou auditoria de segurança e pretendes saber, sem invadires a privacidade de toda a gente (ou seja, usando as passwords encriptadas), se alguém está a usar uma password fácil de adivinhar. A solução com este site é muito simples: basta colocares as passwords encriptadas neste site (ou no cliente para Windows que eles disponibilizam) e o site procura-te na lista de passwords já crackadas. Se esta for encontrada, é porque é uma password fácil. Cabe-te a ti, como auditor de segurança, informares o utilizador para alterar a sua password porque é fácil de descobrir.

Existem bastantes aplicações práticas para isto – e infelizmente algumas ilegais. Mas o importante é o pensamento positivo de que esta ferramenta pode ajudar consultores, auditores e investigadores de segurança no seu trabalho.

É claro que pessoas podem usar isto para, com acesso a uma base de dados ilegal, “checkar” passwords de terceiros. Mas isso é crime e obviamente desaconselhado por este site.

Se pretendes usar a ferramenta de uma forma positiva, conhece aqui o InsidePro Hash Finder:

Como usar?

O InsidePro Hash Finder é um site que permite consultares hash’s cifradas/dispersas de algoritmos como MD5, SHA-1, MySQL, NTLM, vbulliten, oscommerce, Invision Power Board, Joomla, MyBB, SMF, MaNGOS, LM, md4, md5(md5_hex), md5-half, sha224, sha256, sha384, sha512, ripeMD160, whirlpool, , MySQL 4.1+ (sha1(sha1_bin)), md5(md5($salt).md5($pass)), entre outras. Se a password não “aparecer” no site (ou seja, não for encontrada) então é uma password segura (ou mais segura que o normal).

Para isso, basta ires ao site finder.insidepro.com e fazeres a tua pesquisa. O site mostra o resultado como hash:password. Ou seja, pegando nestes exemplos (podes testar estes exemplos à vontade!) uma pesquisa por “8743b52063cd84097a65d1633f5c74f5” iria revelar a seguinte linha e password:


Fonte e Foto: Hackers Portugal

Siga-nos por email

Subscreva:

Desenvolvido por FeedBurner

loading...