Hashcat научился расшифровывать 55-символьные пароли

28 августа 2013 года

В интернете в свободном доступе была размещена программа ocl-Hashcat-plus, которая может расшифровывать 55-символьные пароли. До сих пор ПО ocl-Hashcat-plus, способное использовать мощности графических карт для перебора и взлома паролей, была ограничена длиной пароля в 15 символов.

Программа использует несколько методов перебора символов в зависимости от хеш-функции, причем для некоторых алгоритмов длина пароля возрастает до 64 символов, тогда как для других — сокращается до 24 символов. По словам разработчиков, сейчас администраторы большого количества порталов призывают пользователей использовать более длинные и сложные пароли. Такое развитие событий заставляет авторов программ-взломщиков паролей совершенствовать свои разработки.

Дженс Штойбе (англ. Jens Steube), главный разработчик Hashcat, заявил, что возможность расшифровать пароли длиннее 15 символов, была одной из самых необходимых функций, которая усложнила работу программы-взломщика:

Требуется не только более мощный компьютер, а дополнительная оптимизация кода программы. В любом случае, все это ведет к падению быстродействия кода. Хотя реальное падение зависит от множества факторов, таких как режим взлома, мощность процессора и других", - отметил Штойбе.

После изменения 618473 строк исходного кода в новой версии ocl-Hashcat-plus появилась возможность провести восемь миллиардов сравнений символов в секунду в зависимости от используемой хеш-функции. Новая версия программы оптимизирует процесс взлома паролей. Добавив тулкит PACK или Password Analysis and Cracking Kit, позволяет работать с паролями пользователей корпоративных сетей, к примеру Microsoft Active Directory.

Штойбе добавил, что ocl-Hashcat-plus содержит некоторые новые алгоритмы криптографии, такие как TrueCrypt, 1Password, Lastpass и другие.

Полный список поддерживаемых алгоритмов:

• MD5
  • md5($pass.$salt)
  • md5($salt.$pass)
  • md5(unicode($pass).$salt)
  • md5($salt.unicode($pass))
• SHA1
  • sha1($pass.$salt)
  • sha1($salt.$pass)
  • sha1(unicode($pass).$salt)
  • sha1($salt.unicode($pass))
• MySQL
  • phpass, MD5(Wordpress), MD5(phpBB3)
  • md5crypt, MD5(Unix), FreeBSD MD5, Cisco-IOS MD5
• MD4
• NTLM
• Domain Cached Credentials, mscash
• SHA256
  • sha256($pass.$salt)
  • sha256($salt.$pass)
  • sha256(unicode($pass).$salt)
  • sha256($salt.unicode($pass))
• descrypt, DES(Unix), Traditional DES
• md5apr1, MD5(APR), Apache MD5
• SHA512
  • sha512($pass.$salt)
  • sha512($salt.$pass)
  • sha512(unicode($pass).$salt)
  • sha512($salt.unicode($pass))
  • sha512crypt, SHA512(Unix)
• Domain Cached Credentials2, mscash2
• Cisco-PIX MD5
• WPA/WPA2
• Double MD5
• LM
• Oracle 7-10g, DES(Oracle)
• bcrypt, Blowfish(OpenBSD)
• SHA-3(Keccak)
• Half MD5 (left, mid, right)
• Password Safe SHA-256
• IKE-PSK MD5
• IKE-PSK SHA1
• NetNTLMv1-VANILLA / NetNTLMv1+ESS
• NetNTLMv2
• Cisco-IOS SHA256
• Samsung Android Password/PIN
• RipeMD160
• Whirlpool
• TrueCrypt
  • TrueCrypt 5.0+ PBKDF2 HMAC-RipeMD160 + AES
  • TrueCrypt 5.0+ PBKDF2 HMAC-SHA512 + AES
  • TrueCrypt 5.0+ PBKDF2 HMAC-Whirlpool + AES
  • TrueCrypt 5.0+ PBKDF2 HMAC-RipeMD160 boot-mode + AES
• AIX
  • AIX {smd5}
  • AIX {ssha256}
  • AIX {ssha512}
  • AIX {ssha1}
• 1Password
• Lastpass
• GOST R 34.11-94
• OSX v10.8
• GRUB 2
• sha256crypt, SHA256(Unix)
• Joomla
• osCommerce, xt:Commerce
• nsldap, SHA-1(Base64), Netscape LDAP SHA
• nsldaps, SSHA-1(Base64), Netscape LDAP SSHA
• Oracle 11g
• SMF > v1.1
• OSX v10.4, v10.5, v10.6
• MSSQL(2000)
• MSSQL(2005)
• EPiServer 6.x < v4
• EPiServer 6.x > v4
• SSHA-512(Base64), LDAP {SSHA512}
• OSX v10.7
• vBulletin < v3.8.5
• vBulletin > v3.8.5
• IPB2+, MyBB1.2+