ハクソク

世界を動かす技術を、日本語で。

HNに表示: オフラインパスワードクラッキングを習得するために4年間を捧げました

4日前

概要

  • Hashcatのコア開発者への感謝の言葉
  • 4年間にわたるHashcatの使用経験と知見の書籍化
  • パスワードクラック分野の進化に伴う執筆内容の更新
  • 初心者から専門家まで役立つ包括的なリソースの提供
  • 書籍・紹介動画の公開とフィードバックの呼びかけ

Hashcatとパスワードクラック技術の歩み

  • Hashcatは オフラインパスワードクラック において最も強力なツール
  • 14歳から18歳までの 4年間、Hashcatおよび関連ツールの研究
  • 2022年1月18日以降の 知見を体系的に書籍化
  • 分野の進化に合わせ、 主要部分を継続的に改訂
    • 例: Argon2などGPU対応メモリハードハッシュ の登場によるワークフローの変化

執筆の動機と経緯

  • 書籍執筆のきっかけは、 学校での認可済みペネトレーションテスト
  • 初期はYouTubeやブログからの知識の メモ書きからスタート
  • 専門的なガイドに必要な情報量の多さに直面
  • オンラインリサーチで、 包括的な情報源が存在しない現状 を認識
  • パスワードハッシュアルゴリズムや 高度なクラック技術、攻撃最適化まで幅広く研究

コミュニティへの貢献と今後

  • 初学者から専門家までを対象とした ナレッジ共有 を目指す
  • 同様のリソースがあれば、 学習初期に大きな助けとなった との思い
  • 意見やフィードバック を歓迎

書籍・動画の案内

  • 書籍の 紹介動画 をGoogle Driveで公開
    • 公式ドメイン利用、 ダウンロード不要
    • 動画リンク: https://drive.google.com/file/d/13LeysSZO8Mx-LGKt8UQjUGBKOYH...
  • 書籍は Amazonで一般公開中
    • Kindle Unlimitedで無料閲覧 可能
    • 書籍リンク: https://www.amazon.com/dp/B0GX36XRCD

Hackerたちの意見

いい仕事だね!本は427ページもあるんだ。動画をYouTubeにアップしたらどう?

酔っ払ってるの?彼はGoogleとAmazonにまだ気づかれてないのがラッキーだね。アカウントへのアクセスを維持したいなら、すぐに削除してトレントで配布した方がいいよ。

シェアしてくれてありがとう!これは面白そうだね。すごい成果だと思う。今のところこの本はあまり自分には関係ないから、Amazonでサンプルをざっと見ただけなんだけど、技術的な内容は結構正確で興味深かったよ。ただ、時々ちょっと冗長な部分(例えば「パスワードとは何か」っていうセクション)や、少し不正確なところもあったかな。全体的に見て、この本はしっかりした校正があればもっと良くなったかもね。文法のミスや、あまり洗練されていない文が結構あったよ。例えば:>「Linuxが重要なのは、まあ、使うツールのほとんどは、他のシステム、例えばWindows用のビルドもあるけど、この本ではLinuxを使うから。」成功を祈ってるし、これからも書き続けてね!

どの部分が少し不正確だと思ったの?

うん、Amazonでサンプルをざっと見たら、ほとんどの文に少なくとも1つのカンマが入ってるのに気づいたよ(全く価値がない)。誰かの考えを読んでる気分だね。個人的には、コメントやクソ投稿のためにカンマを使うのが好きだけど、情報を提供するリソース、特に本では避けるべきだと思う。そうじゃないと、言葉のサラダみたいになっちゃうから。自分の考えやアイデアは大胆に、確信を持って伝えよう。でも、18歳の時よりは上手に書けてるから、批判はしないよ。ただ、君(OP)が改善するための役に立つフィードバックを提供しようとしてるだけだから。

複雑なテーマでこんな大きなプロジェクトを終わらせて、他の人が学べるように努力したことをお祝いします!Amazonで最初の数ページを読んで楽しんだよ。

おめでとう!本は素晴らしいね。執筆や出版準備のプロセスについてもっと聞きたいな。セルフパブリッシングなの?組版や図はどうやってやったの?

私も執筆やフォーマットのプロセスについて聞いてみたいな。自分のプロセスをソフトウェアエンジニアとして、初めての小説家としてここに書いたよ: https://frequal.com/forwriters/

どんな年齢の人にとっても素晴らしい成果だけど、18歳でこれだけのリサーチをして本を出版するのはすごいね。心からお祝いするよ。ざっと本を見たけど、丁寧にレイアウトされていて整理されてるみたいだね。もっと読んだら質問するかもしれないよ。よろしく!

これは本当に素晴らしいプロジェクトだね、特に14歳で始めたっていうのがすごい。包括的なリソースがないっていうのは本当にその通りだと思う。パスワードセキュリティについて学ぼうとしたことがあるけど、いつも5つのタブを行ったり来たりして、やっと1つの概念を理解する羽目になってた。

実は最近このテーマに関する本がいくつか出てるよ(質については分からないけど、レビューは良さそう): Netmux (2019): Hash Crack: Password Cracking Manual¹ James Leyte-Vidal (2024): Ethical Password Cracking: decode passwords using John the Ripper, hashcat, and advanced methods for password breaking² Daniel W. Dieterle (2024): Password Cracking with Kali Linux³ ¹) https://www.amazon.com/gp/product/1793458618 ²) https://www.amazon.com/Ethical-Password-Cracking-passwords-a... ³) https://www.oreilly.com/library/view/password-cracking-with/...

いい仕事だね!本を出版するのはすごい成果だし、そんな若い年齢でキャリアをスタートさせるなんて!今はその本を読む時間を見つけないとね。結構面白そうだし。

じゃあ、パスワードの代わりに何を使えばいいの?

パスキーが明らかな答えだけど、ちょっと不安。

俺は全てに空白のパスワードを使ってるんだ。誰も何も試そうとは思わないからね。

MFAの認証アプリとパスワードの組み合わせはほぼ壊せないよ。CIAがハッキングしたいと思わない限り、大丈夫だと思う。

古いデータセンターのKVMがあって、ルートパスワードがどうしても解けないんだ。古いDESのやつなのに。誰か良いクラウドホスティングのパスワードクラッカー知ってる?ジョン・ザ・リッパーをどれだけ長く走らせても、全然ブートフォースできないんだよね。

c6i.32xlargeみたいなコアがたくさんあるEC2インスタンスなら、うまくいくんじゃない?スポットインスタンスを使って、頻繁にチェックポイントを取って、警告が出たら進捗ファイルをS3にコピーすればいいし。

同じ道を進んでる人がいて嬉しい!本は読んでないし、Hashcatも使ったことないけど、質問があるんだ。パスワードの正規表現からレインボーテーブルを生成する方法ってまだあるの?