image

Prestaties wachtwoordkraker Hashcat sterk verbeterd

donderdag 22 februari 2018, 11:59 door Redactie, 7 reacties

Er is een nieuwe versie van de populaire wachtwoordkraker Hashcat verschenen die wachtwoordhashes nu veel sneller kan kraken dan bij vorige versies het geval was. Bij veelgebruikte hash-algoritmes zoals MD5, SHA-1 en SHA-256 bedraagt de prestatiewinst tientallen procenten, aldus de benchmarks.

Hashes worden gebruikt om wachtwoorden gecodeerd in een database op te slaan. Dit voorkomt dat als bijvoorbeeld een website wordt gehackt en de database wordt gestolen, de aanvaller meteen toegang tot de wachtwoorden van gebruikers heeft, aangezien die gehasht zijn. Het is echter mogelijk om een hash te kraken en het bijbehorende wachtwoord te achterhalen. Iets wat middels een tool als Hashcat mogelijk is. Het programma maakt hierbij gebruik van de rekenkracht van de videokaart en processor.

In Hashcat 4.1.0 zouden zowel eigenaren van een AMD- als Nnvidia-videokaart bij alle hash-algoritmes en aanvalsmodes prestatieverbeteringen moeten zien, zo laat de ontwikkelaar van de software weten. Dit komt mede door een nieuwe techniek die bedoeld is om de PCIe-overdachtstijd te verkorten. Ook zijn de prestaties voor systemen met Intel I7- en AMD Ryzen-processoren verbeterd. Verder zijn er verschillende nieuwe hash-modes toegevoegd, waaronder die van Electrum Wallet, Apple Secure Notes en Ethereum Pre-Sale Wallet. Hashcat 4.1.0 is te downloaden via Hashcat.net.

Image

Reacties (7)
22-02-2018, 12:06 door Anoniem
Voor PHP developers laat dit heel goed zien hoe sterk de blowfish hashing van password_hash() en password_verify() is.
22-02-2018, 13:46 door Anoniem
recap van de bug die dit probleem veroorzaakte :

hashCat had de maximum passwoord lengte vergroot van 64 bytes [16-55 feitelijk] naar altijd 256 bytes.
Tijdens het oversturen van de kandidaat-passwoorden over de PCIe bus blokkeert de GPU .

Die grotere kandidaat-passwords blokkeren de GPU langer, en daardoor daalde de performance .
De meeste kandidaat passwords zijn echter veel korter dan de gereserveerde 256 byte datastructuur .

De fix is om een simpele compressie te doen, waarbij de aanvullende nullen achter een kandidaat password gecompressed worden.
22-02-2018, 14:50 door Anoniem
Ik zou zeggen voor degenen die Hashcat 4.1.0. hier willen willen testen, raad het wachtwoord dat aan dit SHA-256 controlegetal is gelieerd maar eens.

f29c427bcaddc2eefc661bd81350124789cec883a47c5570bfee55f87fde45e9

Het wachtwoord bestaat uit een regel van een liedje.
22-02-2018, 20:14 door Anoniem
Kijkeens zonder hashcat!

Deze hash is het bewijs
8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92
Geen hashcat nodig voor dit ongezouten sha256 password
Hoe groot zou het resulaat zijn aan volksstammen die je ermee binnenhaalt?

Overrated software met een korte levensduur in de aanloop naar totaaltap sleepnetwet en inbraakfesten.
22-02-2018, 21:22 door Anoniem
Door Anoniem: Kijkeens zonder hashcat!

Deze hash is het bewijs
8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92
Geen hashcat nodig voor dit ongezouten sha256 password
Hoe groot zou het resulaat zijn aan volksstammen die je ermee binnenhaalt?

Overrated software met een korte levensduur in de aanloop naar totaaltap sleepnetwet en inbraakfesten.

Uw verhaal is niet geheel duidelijk.
23-02-2018, 22:57 door Anoniem
Hij zal wel bedoelen dat het sleepnet een download van deze 'hacktool' een alarmbel laat afgaan waarna je smarthome een paar extra ogen op bezoek krijgt.

Uiteraard kan men, net als met een tandenstoker, een dergelijke tool voor goede en voor slechte doeleinden gebruiken. Sterker nog het zou wel eens voor een nieuwe vorm van extreme compressie kunnen ingezet worden.

Korte levensduur zal wel slaan op de ingebouwde datumcheck die je 'verplicht' constant nieuwe versies te downloaden.

Wel ironisch dat de ontwikkelaar geen hash van zijn downloads publiceert :p
25-02-2018, 13:53 door Anoniem
Door Anoniem:
Wel ironisch dat de ontwikkelaar geen hash van zijn downloads publiceert :p

De ontwikkelaar publiceert een PGP signature van de source en de binary download. Dat bevat een hash...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.