7年了,随着完全改版的第7版发布,Windows系统下老牌著名破解器L0phtCrack终于强势回归。
该口令破解器首次发布是在19年前,当时迅速风靡黑客圈,并导致微软不得不改变其处理口令安全的方式。但自2009年,在世界上第一个将安全与培训集中在一起的会议——波士顿Source大会上发布了第6版以来,该破解器再无新版本发布。
最新发布的第7版,采用可利用现代多核CPU和GPU(图形处理器)的全新破解引擎,将四核CPU的破解耗时急速缩短到不到前版的1/5。但是,装载 AMD Radeon Pro Duo 之类高端GPU的用户,甚至可以感受到比前版提升500倍的破解速度。
还依赖于NTLM口令散列的微软,显然在这场速度战中落在后面。微软在装备上的严重落后,甚至让口令破解比近20年前初代L0phtCrack横空出世时还要简单。
L0pht控股公司称:“L0phtCrack的口令破解能力,曾迫使微软改进Windows口令散列存储方式。”
“微软最终抛弃了脆弱的LANMAN口令散列,迁移到沿用至今的更强点儿的NTLM口令散列。不过,硬件和口令破解算法当然也在这些年间大幅长进了。”
新发布的 L0phtCrack 7 证明了,现行Windows口令破解起来比18年前微软开始提升口令强度时更容易。
1998年,CPU频率400兆赫的奔腾II计算机,初版L0phtCrack要用一整天时间,才能破开8个字符长度的字母和数字混排 Windows NT 口令。今天,L0phtCrack 7 在游戏机上都表现得快得多,2小时内就能搞定 Windows 10 口令。
L0pht公司表示:“随着时间流逝,Windows口令安全性大幅下降,现在甚至比 Windows NT 时期还容易破解。”
“其他操作系统,比如Linux,则提供安全得多的口令散列,包括美国国家安全局(NSA)建议的SHA-512。”
有研究发现,大多数时候,渗透测试员是通过粗劣的域用户口令侵入系统的。为此,L0phtCrack 7 被当成了管理员和测试员在数小时内快速发现弱口令的工具。
全新改版的L0phtCrack还提供了闪亮的图形用户界面(GUI)和审计面板,搭配有任务计划和报告功能。全版本Windows通杀,新型UNIX口令散列也支持,还可以通过功能插件与其他口令导入器和破解器协同工作。
目前尚无对密码选择最佳做法的共识。
微软和谷歌的科学家认为口令应该是可发音的,而不是通常建议的数字+特殊字符+字母的混排——真的太难记了!英国政府通信总部(GCHQ)间谍机构觉得,管理员应该停止用定期重置口令的方式让用户难受——研究表明定期重置口令反而会让口令越来越弱。
口令强度计量就是垃圾,根本无法抵御可被轻易猜解的生日口令、复用口令等等。上个月,Docker安全总监就驳斥了流行的口令选择和复杂性看法,称应使用口令管理器来产生全部网站的独特冗杂凭证。
本文转自d1net(转载)
