 und Kaku Hari. Ja, hallo, CCC. Ich bin Tune Mia und ich werde über Anhasch bessere Methoden oder Methoden für besseres Passwort Cracking reden. Der Kern meines Talks ist meine Forschung, wie man langweilige Dinge automatisieren kann, um Passwörter zu checken und um Passwort Cracking-Attacken gegen Passwörter zu verbessern. Die Idee ist, beizutragen und Elemente zu integrieren, into andere Werkzeuge wie z.B. Metaspläute oder einige Dinge mit Offenheit und mit Wiederverwendbarkeit als Ziel. Also fangen wir zuerst mit der Psychologie von Passwörtern an. Was für Passwörter gibt es? Zunächst gibt es also Standard-Passwörter oder Channatentatüren, die Leute in unsere Systeme einbauen, Roots, Support, Admin, solche Dinge. Dann gibt es echte Passwörter, denn Leute brauchen ein System, um Passwörter sich zu merken. Jeder von euch hat ein System, wie Passwörter erzeugt werden, wie ihr sie euch merkt, oder? Also Menschen nutzen Kombinationen, Mutationen, sie fügen Wörter hinzu, sie haben ihre eigenen Wege. Und es gibt pseudo zufällige Passwörter, man kann nicht sagen, dass etwas wirklich zufällig ist, in bestimmten Spezialfällen vielleicht. Aber etwas wie dies hier, wenn jemand sich dies merken kann, das wäre unglaublich, aber normalerweise ist das nicht möglich. Und deswegen haben wir Systeme, uns andere Passwörter zu merken. Der Talk teilt sich in zwei Probleme auf. Das erste ist das langweilige Problem, also das Interessante kommt am Schluss. Das erste Problem ist, wie überprüft man Systeme auf Standard-Passwörter, z.B. vernetzte Geräte wie Router und Switches, wie überprüft man eingebaute Hintertüren, also jetzt nicht Programm-Hintertüren, sondern Hintertür-Passwörter, die vielleicht in Accounts stehen gelassen worden sind und wie bekommt man Daten durch automatische Angriffe. Also das langweilige Problem sind also Standard-Passwörter auf Geräten. Jeder von euch hat einen Router oder ein anderes Gerät. Sie kommen meistens vorkenfiguriert an mit Standard-Passwörtern. Dieses Problem ist normalerweise manifestiert in der Produktion, wo man irgendwie was vergessen hat. Wir brauchen jetzt direkt Wi-Fi, WLAN, also holen wir uns das, dass es schnell passiert. Und in Testsystemen gibt es vielleicht eine Datenbank mit Usernamen-Passwort-Kombinationen für den Datenbank Admin und das andere für das System. Das zweite wird sich nie geändert oder einfach nachlässige Konfiguration. Das ist also langweilig und das leicht interessante Problem sind Hintertür-Passwörter und die Sammlung von Daten in der freien Wildbahn. Also wie sammeln wir Standard-User-Passwort-Pare, Username-Passwort-Pare? Eine Sache, die ich versucht habe, ist einfach all die gesamten Standard-Passwort-Lister abzusaugen, also Phenolith, Synthnet, Liquidmatrix, Security Override. Das sind also Dinge, wozu man Standard-Passwort-Listen im Netz findet. Und dann sind wir natürlich organisiert und nach Anzahl Vorkommens gewichtet, was also gut ist, wenn jemand einen Standard-Passwort vergessen hat. Die gesammelte Daten nach Anz-, nach Vorkommens-Häufigkeit zu ordnen, ist die einzige sinnvolle Metrik, die wir zur Zeit haben für unsere Analyse. Wenn jemand eine Idee für etwas Besseres hat, würde ich das gerne hören. Denn Username-Passwort-Pare sind oft sehr normal oder Admin oder Admin ohne Passwort. Das geht dann einfach an den Anfang der Liste und wird früher getestet und das spart Zeit. Andere Metriken könnten nach Verkäufe oder nach Geräts sein, aber das enthält normalerweise nicht den Use Case, den wir haben möchten. Zum Beispiel vergessene Geräte oder schwache Geräte. Jemand wird sagen, warum möchte man jetzt alle möglichen Geräte? Was ist denn, wenn jemand Fail-to-Bahn oder SSH-Guard hat, wenn dort jemand das Default-Passwort gelassen hat? Der Code für diese einfachen Dinge ist über GitHub erhältlich. Ihr könnt das verwenden und es ist außerdem auf im Metasploit Framework erhältlich als Default-User-Pass-For-Services-Unhash, falls ihr zumindest meiner Datenpflege vertraut. Das leicht interessierte, interessante Probleme sind fest eingebaute, feskulierte Hintertüren. Hier ist also ein HP-Speichergerät, einen SIN, also Festplatten am Netz und jemand hat hier also eine Hintertür gefunden, eine Hintertür-Passwort gefunden und ich habe also hier etwas Einfaches ausprobiert und auf einmal kann ich die Administrationsüberfläche verwenden. Es wurde dann veröffentlicht, dass fast alle möglichen Flughafensicherheitssysteme, die jetzt das Tür öffnen vielleicht ermöglichen oder registrieren, wer sich wo auffällt und der Mofo-Itemizer, der also nach Sprengstoff scammed oder solche Dinge, die haben alle Hintertür-Passwörter und all diese Geräte sind natürlich vernetzt. Unglücklicherweise ist der Trend, Username und Passwörter einzubauen als Hintertüren, weitet sich dieser Trendleit aus. Es gibt mir mehr Trends. Wie viele von euch wissen zum Beispiel über den League letzten Jahres eines populären Firewall Anti-Spam-Verkäuvers, der verschiedene Hintertür-Accounts in Geräte eingebaut hat. Zum Beispiel, das beste war MySQL, Data-Datenbank mit dem default User-Product und ohne Passwort und dann ein SSH-Schlüssel mit Zugriff aus der Ferne, Zugriffsmöglichkeit auf das der Ferne. Ähnet euch daran. Das Problem ist, dass dies wird ein immer größeres Problem. Zum Beispiel, diese Art von Geräte hat keinerlei Sicherheit. Ich kann mir nicht vorstellen, dass irgendjemand diese Dinge benutzen möchte oder man sollte zumindest die Dinge jetzt selbst überprüfen. Und wenn ich sage selbst, meine ich nicht, selbst im... Also redet zuerst mit euren Rechtsanwälten, denn es könnte auch Probleme geben, wenn ihr Tests durchführt. Das dritte für Online-Angriffe ist, wie bekommt man Datensätze von Angreifern? Wenn man also Daten sammeln möchte, die in Online-Angriffen benutzt werden, zum Beispiel, was verwenden Bordnetze? Ein interessanter Teil hier ist, dass man SSH-Bord verwenden kann, der Daten aus SSH-Hunipods sammelt. Also wenn man also einen SSH-Hunipod betreibt, bitte, gebt diesen Leuten eure Daten und das gibt uns Informationen über Attacken in der Öffentlichkeit. Und wenn man all diese Username-Passwort-Kombinationen herunterlädt, dann sieht man interessante Muster zum Beispiel. Sehr beliebt mit einer hohen Anzahl von Vorkommnissen ist Root und sagen wir einen anonymen Verkäuferennamen und plus 4, 6. Wenn man danach googelt, findet man das nicht. Das zweite ist URL eines bekannten Internet-Providers und ein Zufall-String. Das dritte ist Research-Name einer Forschungsfirma und eine andere Kombination, die man nicht finden kann als Default-Standard. Und es gibt eine interessante Frage. Sind das Hintertüren oder hat jemand hier Insider-Informationen, wie man diese Sachen in diese Sachen einbringt und probiert alles aus? Lass uns jetzt nicht vor schnelle Schlüsse ziehen. Schauen wir uns einfach die Daten für Angriffe in der Öffentlichkeit und wir finden interessante Daten. Warum verlieren wir an dieser Front? Naja, machen wir es einfach. Wir können nicht eine zentralisiert Datenbank haben, die all diese bekannten Hintertürdaten und Passwörter und alles sammelt. Wenn man jetzt sich irgendein Tool anschaut, dass irgendwelche Passwort-Listen für Tests hat, dann sehen wir, dass man nicht finden kann, von wo diese Liste kam, wer diese Liste erzeugt hat, für welchen Newscase und warum das benutzt werden sollte. Es gibt keine erklärenen Daten, die sagen, wie diese Passwort-Listen erzeugt wurden und es gibt keine Art, wie man dies integrieren kann mit anderen Werkzeugen. Es gibt keine Aktualisierungen und solche Sachen. Also Pull Request auf GitHub ist nicht wirklich eine Option, die zu lesen. Das ist also ein manueller Prozess und man kann sehen, dass dieser Teil langweilig ist. Niemand mag gerne diese Listen aktualisieren und habe also die höchste Achtung für Leute, die diese Listen pflegen, denn irgendjemand muss das eben tun. Und ich muss noch etwas sagen, wir brauchen ein zentrales, eine zentrale Datenbank für brauchen. Lass uns eines pflegen und nicht sechs verschiedene für diese Daten, die nicht verbunden sind. Lassen wir es so, dass das einfach in Tools eingebunden wird und lass uns es uns ermöglichen, dass diese Daten überprüft werden. Also wenn ihr interessiert seid, bitte kontaktiert mich. Nun, vom langweiligen zum interessierenden, interessanten Teil. Wie können wir das Tracking für nicht pseudozufallst Passwörter erzeugen? Also Leute Passwörter, das ist die Frage. Wenn wir sehen, wie jemand sein Passwort erzeugt, dann kann man normalerweise einen besseren Angriff machen. Wie soll, wie soll, wie soll man das tun? Wie soll man das tun? Na ja, das ist verbunden mit doch einer anderen Sache. Wir wollen Wortlisten anfertigen aus anderen Daten, die für bestimmte Benutzer ausgerichtet sind. Wenn wir zum Beispiel hier Leute angreifen wollen, dann verwenden wir Security Activism 32C3 und so, jetzt ein oder zwei andere Dinge und dann Mechanismen, um daraus anderes abzuleiten. Also was für Optionen haben wir, wenn wir jetzt viele Hashes Cracken wollen oder Passwörter Cracken wollen? Das erste ist einfach das einfache und das Lustigste. Bauen wir einfach eine schnellere Cracking-Maschine, also mal viele verschiedene Prozessoren, Grafikprozessoren und solche Dinge. Das zweite ist einfach den Algorithmus anzugreifen. Zum Beispiel MD4, der Algorithmus ist bekannt, dass man ihn mit einem Bleistesser-Papier angreifen kann. Das dritte ist umgehen. Also nutzen wir, machen wir irgendwelche Pasta-Hash-DPA, einfach Schadstoffwärm, um das Passwort aus der Maschine herauszulesen, ohne das Passwort wirklich zu brechen. Das dritte ist nicht einfach Blutforce verwenden, nicht alles ausprobieren, sondern intelligent angreifen. Wortlisten, Regeldateien, es gibt dann den balancestischen Zeit- und Speicherbedarf, Rainbow Tables, Markov-Verangriffe, Maskierungs-Attacken, Fingerprint-Attacken oder etwas anderes. Also jetzt kommt die auf jeden Fall notwendige XKCD-Referenz. Wie können wir eine Passfress mit einem normalen Tool Cracken? Das ist ein bisschen schwieriger. Das heißt, wir müssen etwas schreiben in dieser Phone. Das ist eine tatsächliche Regeldatei. Sie benutzt Wörter aus einer Wortliste, mehrfach und probiert aus, was dann passiert. Das ist ein von Daten angetriebener Weg. Erst brauchen wir Daten, um rauszufinden, wie Leute Passworte bilden. Diese Daten sind schwer im Netz zu finden, also zumindest Daten mit guter Qualität. Manche nette Leute im Internet haben tatsächlich gute Forschungsdaten geliefert, saubere Password-Dams, mit den eigentlichen Hashes und die ganzen Passwörter, nicht nur Teile davon. Unsere Auswahl ist sehr begrenzt. Das Lancet ist 33 Millionen Passwort, 14 Millionen Eindeutige, kürilisch, griechisch wurde alles entfernt, weil ich diese Sprachen nicht reintun wollte schlichtweg, weil ich sie nicht kenne. Die Listen, die man verwendet hat, waren Rockyou, PHPB und Yahoo. Und jeder der Passwort-Resorts macht kennt diese sehr beliebten Listen. Die Verifizierung waren zwei Sets. Erstmal LinkedIn, das ist das zweitgrößte Set und das dritte ist von EliteHackers, CardusCC, Hack5 und MySpace. Die Idee war zuerst eine Art Maschinenlern-Algorithmus zu verwenden. Das hat ganz schlecht funktioniert. Danach habe ich etwas erzeugt, was sich Seaving oder Sieben nennt. Wir erzeugen einen Classifier für jede Passwortklasse. Du kannst nicht alle Passwörter klassifizieren, das geht nicht, sondern nur einen Teil davon. Wir erzeugen einen Classifier, der durch diesen Untersatz identifizieren kann und von jedem für diese Klassen erzeugen wir einen Classifier. Wir entscheiden uns, welche davon die korrektesten sind und dann ändern wir das Ganze in einen Format, was analysiert werden kann. Diese Classifier sind einfache Muster, Keyboard-Muster und Pseudo-Zufällige Passwörter, die wir auf den ersten vier Slides gesehen haben, war tatsächlich ein Tastaturmuster. Es sieht sehr gut aus, aber man folgt nur Tasten in einer bestimmten Form auf der Tastatur. Hier gibt es Änderungen, Mutationen, wo man ein Buchstaben gegen anderen austausst usw. Oder Kombinierung von mehreren Worten und Elementen oder einfach nur bestimmte Elemente. Wenn wir das sieben, dann können wir das iterativ durchgehen und die Passwort auseinandernehmen. Das zweite Problem ist, wie identifizieren wir Sprachen. Zum Beispiel wenn man sagt Security, das gibt es in allen Sprachen. Aber was ist, wenn du Plagia sagst, was ist das? Wie kann ich das identifizieren? Aber wenn du eine gute Wortliste haben willst, kannst du dich nicht nur auf die Sachen verlassen, die es schon gibt. Google und andere Korpese sind oft so groß. Bibliothekprogramme wie Hans-Bern und Aspel ebenfalls auch nicht. Menschen benutzen alles mögliche, nicht nur grammatikalisch korrekte Sätze. Zum Beispiel Informationen über Sachen von einer berühmten Fernsehserie, die Namen der Figuren, Namen der Orte, von aus Büchern. Eine ideale Quelle ist tatsächlich Wikipedia, weil Wikipedia sehr viele Artikel hat und die sind nicht durch Sprache begrenzt. Das heißt ich habe Englisch, Deutsch, Ungerisch, Französisch, Spanisch und so weiter gedammt und das hat eine sehr große Passwortliste erzeugt, mit der wir Zeichen erkennen können, um das noch zu verbessern. Wikipedia hat 84 Kategorien und diese Kategorien habe ich, die jeweils Top 50 Resultate von Google dafür noch dazu genommen. Um euch das zu ermöglichen, um sowas von Google suchen zu ermöglichen, habe ich ein Skriptozeug G-Worklist, das holt sich die Top X Google Resultate und man kann Schlüsselworte und sogenannte Google Docs eingeben und es wird auch eine Wortliste anhand der Häufigkeit erzeugen und das kann man einfach in ein Passwort Cracking Tool palten. Warum brauche ich das? Wenn man das benutzt, dann ist es mehr effizienter, wenn man eine sehr allgemeine Wortliste verwendet. Wenn du Security Researcher angreist, dann kannst du deren Daten verwenden, die sehr spezifische Information oder Schlüsselworte hat, die sie benutzen würden und natürlich kann man rekursiv arbeiten. Du nimmst die Resultate und gehst rekursiv durch und erzeugst eine noch größere Liste. Das ist ein iterativer Ansatz. Zuerst markierst du die bekannten Elemente, du erzeugst eine Decomposition Rule und überlegst, wie eine Person Passwort erbaut, welche Mutation sie verwendet, welche Ersetzung usw. Wenn du etwas Unbekanntes hast, dann speicherst du es und untersuchst das Late und gibst ihm einen neuen Classifier. Und dann hast du eine Liste von Classifier und Algorithmen. In der Praxis sieht das etwa so aus. Du nimmst etwas, was aussieht wie ein starkes Passwort, aber es sagt dir, es ist ein Muster direkt von der Tastatur. Jemand hat nur bestimmte Tasten gedrückt und Schiff gedrückt. Andere einfache Muster können identifiziert werden, wenn man sich anschaut, wie Leute sie bauen oder ein kompliziertes Passwort, wie dieses hier wird sozusagen untersucht und du kannst alle Elemente identifizieren und die können dann wieder in eine Regel für Anhäsch geschrieben werden. Was ihr hier seht, ist eine generische Regel für das Anhäschstuhl, die ausgeführt werden kann, wo es ergibt. Und Namlenk 4 ist ein Wörterbuch aus vier Zahlen. 11 ist und er steht für eine Ersetzung. Und STR Land 4 ist ein Wörterbuch mit allen Strings von der Linge 4. In dem Data Maining Prozess, wenn der Sieb-Algorithmus die Passworder klassifiziert, habe ich all die Daten gesammelt. Zum Beispiel alle Nummern, die eine Länge von 4 Zeichen haben und danach habt ihr eine Wortliste, die anhand der Häufigkeit der am meisten benutzen Nummern basiert, also nach der Wahrscheinlichkeit, dass Leute diesen Nummern wählen. Die Regel sind Ausdruckstark. Ihr könnt jede Kombination von Wortlisten, Strings, Generatoren, was auch immer ihr wollt machen, um die Passwortkandidaten zu erzeugen. Ihr könnt Ersetzungen erzeugen, Kleinen und Großschreibungen. Ihr könnt Permutation benutzen, zum Beispiel, wenn ihr einen Passwort haben möchtet. Und ihr möchtet das S in Passwort zu fünf ändern. Ihr könnt euch überlegen, ob ihr alle S verändern wollt in die fünf oder nur den ersten oder den zweiten und ihr müsst nicht mehrfachere Regeln schreiben, um diese Ausdrücke zu erzeugen. Und ihr könnt eure eigenen Regeln anhand von Pfeifen schreiben. Der Vorteil von Anhäschregeln ist, dass ihr jede Wortliste verwenden könnt, die ihr immer auch mögt. Ihr könnt die nehmen, die bei Anhäsch dabei ist und die basiert auf unserem Data Mining. Ihr könnt die Google Wortliste verwenden, um weitere Passwörter zu erzeugen, die aus der Google-Tatenbestand stammen oder ihr benutzt ihre eigenen. Und meine Empfehlung ist, nehmt die erste und die zweite Methode. Also Anhäsch und die Google Wortliste. Der Use Case ist relativ einfach, das Tool sollte Ulder teilen, ausführen können und ihr pipet das einfach in euer Passwort-Cracking-Programm, wie John Ridford oder Hashcat. Der interessierte Teil ist, wenn ihr auf Github guckt, das tun bestimmt manche von euch, dann denkt ihr, dass das der hässlichste Code ist, den ihr je gesehen habt. Aber wenn es hier ein paar Pfeifen-Linjas gibt, die das besser machen können, dann bitte Empfehlung einfach gerne an mich. Der interessante Teil ist, ich habe Pipei verwendet. Vielen Dank an die Ersteller, weil die haben mir so möglich, es noch erheblich schneller zu machen. Manche Ergebnisse sind ein paar Wörter später, was die Ergebnisse angeht. Wenn ihr ein normales Boot-Forcing-Programm verwendet, dann wird es immer ein paar Passwörter finden in einer gewissen Zeit. Ich habe vierzehnzig Stunden als Messzeit genommen und was habe ich gemacht? Ich habe Anhäsch verwendet mit der Google Wortliste verwendet, um eine weitere Wortliste zu erzeugen, die auf der Basis der Top Ten Seiten der Keywords und so weiter besteht. Also die Keywords hier oben stehen. Diese Liste habe ich benutzt zusammen mit der Liste aus dem Data Maining. Ihr könnt 20 Prozent bessere verwenden im Gegensatz zu einfach nur John. Warum? Boot-Forcing hilft euch, die kurze Passwörter zu finden, nicht so sehr die komplexen. Dieses Tool wird scheitern, wenn ihr ein Passwort habt, das so pseudo-zufällig aussieht. Wenn ihr ein Passwort habt, das auf der Basis von Kombination und Permutation besteht, dann hilft dieser Ansatz. Ihr seht hier, längere Passwörter werden tatsächlich besser aufgedeckt mit diesem Ansatz, also dem Anhäsch. Glaubt nicht, dass das Anhäsch irgendwie besser ist als schon der Ripper und OCL-Hashcat und die machen schon einen sehr guten Job. Ihr sollt einfach nur das richtige Tool für den richtigen Job verwenden. Das hört sich alles ein bisschen kompliziert an, aber ihr findet die Beispiele auf GitHub, all die Regel-Dateien und ihr könnt sie einfach ausführen und dann kommt die Magie und es funktioniert einfach. Das sind zwei sehr unterschiedliche Use-Cases, aber wenn ihr ein GPU-Cluster habt, dann ist natürlich die GPU der König, das Derby gilt für FPGA-Boards. Wenn ihr nach langsamem Hashen guckt wie B-Kript, S-Kript und ihr könnt euch nicht so wahnsinnig viele Vergleiche leisten, dann versucht diesen Zusatz, das könnte helfen. Das hilft auch mit Passphrases, also setzen. Ihr kennt einen Teil der Passphrase, ihr wisst wie die Passphrase erzeugt wurde, wieviel Wörter sie hat, dann könnt ihr einfach das Boot forsen oder ihr könnt es auch für eigene Werkzeuge verwenden. Was ich immer sehe, dass dieser datenzentrierte Ansatz sehr interessant ist, wenn ich meine baut es, dann seid nicht böse, es ist sehr einfach zu benutzen, es ist auf GitHub verfügbar. Und ich freue mich, wenn wir euch hier mitkommen, mitcoden wollen oder mitforschen wollen, wenn ihr Fragen habt, ihr habt hier meinen Twitter-Account, ihr habt mein E-Mail, ihr habt den GitHub. I'm open for questions. Ja, und jetzt könnt ihr mir Fragen stellen. Vielen Dank für diesen Talk. Für Fragen bitte, stellt euch an den Mikrofonen auf. Gibt es irgendwelche Fragen aus dem Internet? Nein, keine Fragen aus dem Internet, okay? Fragen und Kommentare aus dem Saal. Du hast gesagt, dass du Schwierigkeiten mit Maschinen-Learning hast, könntest du erklären, warum das so war? Das war, weil Maschinen lernen, Algorithmen, Dinge, die ich getestet habe, waren nicht so richtig passend, denn viele, für viele Klassen von Passwörtern, das klassische Problem des Übertrainierens. Du trainierst deinen Maschinen-Learn Algorithmus um einen Teil der Geschichte herauszufinden, eine Art von gelernten Passwörtern und das scheitert dann an den anderen. Eine Sache, die man tun kann, ist etwas wie Zufallsforce verwenden, wenn man keine gute Klassifizierung hat oder etwas wie ein Komitee von Maschinen. Also Maschinen-Learn ist so mehr oder weniger inspiriert von dem Komitee-Learnen inspiriert. Es ist sehr viel einfacher, einen Klassifizierer zu bauen für eine Art von Passwörtern, weil man dann außerdem Beiträge von darüber bekommt, wie Passwörter von Menschen erzeugt werden, aber man kann kompliziertere Ideen bekommen, wie über das Klassifizieren. Was ist, wenn jemand eine Passphrase erzeugt und dann jedes in ersten Buchstaben davon verwendet? Wie klassifiziert man das? Mit einem Seeding-Algorithmus kann man das gut klassifizieren, denn man kann einen Klassifizierungsfall benutzen, das ein Wahrscheinlichkeits-Score dafür hat und Ergebnisse liefert. Nimmt da ein Algorithmus an, dass die Passwortklassen ihnen unabhängig sind? Ja, unsere Klassen sind unabhängig. Wir werden Dinge verwendet, kombiniert wie Keyword-Patterns, Zeichenersetzungen. Jemand verwendet einen Wort und ersetzt einen Teil von Wörtern. Das sind also alles unabhängige Klassen und deswegen ist es sehr viel einfacher, das so zu tun. Microphone 1? Hi. Hi. Ich habe mich gefragt, kann Anhesch auch, kann es Attribute verwenden wie Muttersprache, andere Dinge oder zum Beispiel die Webseite des Ziels beispielsweise zu verwenden, um es noch genauer auf ein Ziel auszurichten? Der erste Teil ist der Maschinenlernenteil, den ich gemacht habe, ist basiert auf diesen Wörterbüchern, Englisch, Deutsch, Kroatisch, Französisch, Spanisch, Italienisch und Holländisch. Also die Regeln sind abgeleitet von diesen Hauptklassen. Das Scraping mit der Google-Wertwortliste ist, man kann Google-Docs schreiben, man kann Endschlüssewörter schreiben und dann irgendwas wie NL und dann verschiedene Einträge mit NL starten und dann kann man das Scraping von 100 Seiten, ach so, Holländisch nicht starten mit NL, sondern Holländisch und man kann das in den UTF-Achtern von Websites ablesen, man hat keine Probleme. Die Ergebnisse durch die G-Wertliste kann man damit im Anherrsch-Tool verwenden und das ist also das, was man machen kann. Man kann also Ergebnisse Scraping und Google-Wertlisten verwenden. Man kann alle Google-Docs verwenden, die man möchte, zum Beispiel eine Suche auf einem bestimmten Land reduzieren, bestimmte Schlüssewörter auf bestimmte Schlüssewörter und sagen, okay, nehmen die Top 500 Sites und dann kann man das verwenden in den Regeln, die dann also frei erhältlich sind. Eine weitere Sache, um Passwort-Policy zu implementieren, wenn man die Policy des Ziels kennt, benutzt einen Großbuchstaben, benutzt ein besonderes Zeichen, geht das auch, dass man Passwort-Polices verwenden kann oder sollen wir einfach Nerec-Ex-Schraben. Und das auszufiltern. Ja, zunächst kann man das herausfiltern durch Regeln. Man kann sehr schnell diesen welche Regeln nicht abgedeckt werden durch die Passwort-Klasse oder durch die Passwort-Policy. Man kann also sehen, ob es eine Ersetzung gibt oder nicht oder so. Das braucht dann vielleicht ein Sonderzeichen. Man kann dann via Scrap auf die Regeln durchführen, die das vielleicht nicht haben. Man kann also ziemlich genau das Zuschneiden auf den Angriff, den man machen möchte. Das ist also der Punkt bei Unhash. Man kann dies anpassen auf irgendeinen Use-Case, jeden, den man haben möchte. Ich habe schon gesagt, es ist kein Ersatz für John the Ripper-Hashcat oder irgendwas anderes. Das sind fantastische Regeln, um alles für Blood Force Attacken. Aber es wird interessanter, wenn man einen Attack auf eine Passphrase, auf einem Slow-Hash machen möchte, wenn man einen bestimmten Reh-Satz von Wörtern angreifen will. Zum Beispiel medizinische Wörter. Wenn man einen Pen-Penetrations-Test machen will, wenn man eine medizinische Anlage, wenn man spezifische Wörter, G-Wortliste damit und das da herauslesen und dann ein Hash darauf verwenden. Das wäre cool, wenn es davon eine webbasierte Variante gibt. So eine Art Cloud-Glacking-Service. Ja, eine Cloud-Wort-Designation, ja. Gute Idee. Wenn ihr den Raumverlass seid, bitte leise, es ist nicht so schwer. Lässt die Frage. Danke für den Talk. Schnell die Frage. Das ist ein Performance-Gewinn von 20 Prozent gezeigt. Hast du mehr Tests gemacht? Hast du eine gewisse Metrik erstellt? Okay. Die möglichen Performance-Gewinne sind schwer. Es denkt also nicht, dass dies jetzt irgendwie schlecht für John oder Hash gibt. Es hängt von der Passwortliste ab, natürlich wieder. Und wir sind zum Beispiel, dies waren allgemeine Passwortlisten. Und wie gesagt, die Forschungsdaten sind schwer zu erhalten. Es sind wirklich große Passwortlisten mit ähnlichen Anzahl von guten Benutzern. Wie soll ich sagen? Sicherheitsbewusste Benutzer, die gute Passwerte benutzen und andere normalere Benutzer. Ich habe also 20, 4 Stunden als Metrik verwenden. Man muss viel experimentieren, große Experimente. Das Experiment dauert also einen Tag. Und das ist wahrscheinlich die Zeit, die jemand als Penetrationstester ohne Cluster verwendet, um alle schwachen Passwörter auszuprobieren. Das ist also, warum ich große Passwortlisten zum Testen verwendet habe. Zum Beispiel LinkedIn, zum Beispiel Yahoo. Passwortlisten, so was. Applaus für den Redner. Und vielleicht doch ein bisschen Applaus für die Übersetzung.