Security Professionals - ipfw add deny all from eindgebruikers to any

Typo dictionary/wordlist generator ergens?

06-09-2011, 14:19 door Anoniem, 2 reacties
Hallo allen,

Om welicht de discussie van het nut te voorkomen, maar je weet nooit: ik heb het lange (meer dan 10) en complexe (alphanumeriek en leestekens) encryptiewachtwoord van een 7zip Winzip AES formaat .zip bestand verkeerd ingetypt. Ik weet wel een deel van de plaintext van de bestanden erin, maar niet alles.
Ik zou het leuk vinden om de inhoud van het bestand terug te krijgen maar het is niet wereldschokkend als het niet zou lukken.

Om dit zip bestand te kraken lijkt het me onhandig om een brute force of gewone dictionary attack te gebruiken.

Ik heb het volgende gezocht maar niet gevonden (voor Windows, Linux, of OSX):
- een dictionary/wordlist generator
- die een beperkt aantal goede wachtwoordkandidaten neemt en
- die voorziet van typefouten, inclusief shift-vergissingen, misschien ook CAPS-LOCK
- op aflopende statistische waarschijnlijkheid liefst (bijv je hebt meer kans om bij 10vingerig blind typen met je linkerpink de fout in te gaan dan met je rechterwijsvinger - als je rechts en waarschijnlijk ook links bent)
- voor een US English keyboardindeling
- liefst gratis, open source maar hoeft niet

Ik realiseer me dat er bij een lang kandidaatpassword al snel een enorm groot mogelijke variaties gaat ontstaan, maar als de "typo-algoritmes" goed werken, heb je natuurlijk wel veel kans om relatief snel een resutlaat te vinden.
Kan ook natuurlijk per kandidaatwachtwoord een lijst genereren en die op verschillende machines of cores draaien, afhankelijk van het kraakprogramma...

Mijn vragen:
1. Is mijn aanpak de juiste?
2. Is er zo'n tool?
Reacties (2)
07-09-2011, 10:15 door Riviera
Ik heb wel eens gelezen dat Lepton's Crack (http://freshmeat.net/projects/lcrack/) handig is in situaties waarbij je een deel van het wachtwoord weet, omdat je Regular Expressions kan gebruiken bij het kraken.
Wel zie ik dat deze software al jaren niet ge-update is, en heb je een hash nodig om te kraken..

In ieder geval zoek je dus volgens mij een cracktool waarbij je regular expressions kan gebruiken!
07-09-2011, 16:48 door Anoniem
Hoi Riviera,

Dank voor de tip. Als hij inderdaad met regexes werkt, zou ik karakter kunnen gaan zitten reconstrueren welke andere karakters wel en niet waarschijnlijk zijn geweest. Dan vervolgens die in de regex knallen, door naar het volgende karakter etc.
Zou op zich natuurlijk wel kunnen...

Wat het probleem is is dat alle mogelijkheden van een karakter (dus een regex) evenveel gewicht krijgen), terwijl je kan weten dat de kans op een foute 3 (als je 2 had moeten typen) veel groter is dan een foute w (tenminste, bij mij ;)
Dus ik had gehoopt dat daar modellen/tabellen van zijn zodat je dat kan voeren aan een wordlist generator zodat de meest waarschijnlijke fouten als eerste op de lijst staan...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.