Nyílt forrásúvá vált a legendás L0phtCrack jelszótörő

A magát csak egyszerűen az "első és eredeti kereskedelmi jelszó auditáló" eszközként jellemző L0phtCrack projekt bejelentette, hogy a 7.2-es verziót nyílt forrásúvá (Apache 2.0/MIT) tette és hozzájárulókat, karbantartókat keres a jövőbeli nyílt forrású fejlesztési terveihez.

Részletek itt.

Hozzászólások

Nyílt forrású jelszótörő, naccerű!

Atomrakéta terveket honnan lehet letölteni? ;-)

Akinek ez feltöri, annak úgyis lesz egy beszélgetése a CISO-val. De jó kis munkát generál ez a biztonsági csapatoknak hogy előbb vegyék észre a rossz jelszavakat mint mostantól bárki más... ☹️

Miert a L’Hôpital szabaly jut rola eszembe mindig?

Ezt a lóphtfütykös milyen jelszavakat tör pontosan? Windows, Linux felhasználói jelszó, vagy doksiké? A sok rizsa között ezt nem írják.

“I didn’t start using Linux so I could have friends.” (Luke Smith, 2019) 🐧

Egy audit kapcsán egyszer 53 userből 52-t tört meg a John the ripper, a vicc az, hogy egy egyértelmű tesztfelhasználóé volt az egyetlen, amit az egy éjszakai futtatás nem talált ki. Pénzintézet Jujnikszos szervereiről (3-5) jött a feldolgozandó passwd.

Még ha poén is volt a fenti (UGYE az volt???) , AD-ben kezdetektől lehetett állítani minimum jelszóélettartamot. Azaz nem próbâlkozhattál a végtelenségig aznap az összes létező jelszókombinâcióval. Hacsak vmi véletlen folytán nem pont ráhibáztál minden próbálkozâsnâl egy újabb valakinek a jelszavára, és így engedett volna ismételt próbát. De ilyen esetben amúgyis orákulum lennél, és nem volna szükség erre a körülményes módszerre a többiek jelszavának kiderítêséhez. Hisz úgyis tudod már mindenkiét.

Remélem senki nem vette komolyan, amit írtam. :)

Komolyabbra fordítva, szerintem a jelszó ilyetén formában való kikényszerítése azt jelenti, hogy az alapszó után egy növekményes számot írnak. Ez így volt húsz éve, és így van most is. Majd postiten valahol a gép környékén az öt évvel ezelőtti kikényszerített jelszó.

A msft szerint sem menő már a 60 naponta kikényszerített jelszócsere, ami az elindítója volt a postit-es jelszó felírkálásoknak.

https://docs.microsoft.com/hu-hu/archive/blogs/secguide/security-baseli…

Periodic password expiration is a defense only against the probability that a password (or hash) will be stolen during its validity interval and will be used by an unauthorized entity. If a password is never stolen, there’s no need to expire it. And if you have evidence that a password has been stolen, you would presumably act immediately rather than wait for expiration to fix the problem.