Verifica robustezza password con John the Ripper
1. Audit password Linux
# Combina passwd e shadow
unshadow /etc/passwd /etc/shadow > hashes.txt
# Avvia il cracking
john hashes.txt
# Mostra password trovate
john --show hashes.txt2. Wordlist mode
# Con dizionario specifico
john --wordlist=/usr/share/wordlists/rockyou.txt hashes.txt
# Con regole di mutazione
john --wordlist=rockyou.txt --rules=best64 hashes.txt3. Hash specifici
# MD5
john --format=raw-md5 hashes.txt
# SHA256
john --format=raw-sha256 hashes.txt
# NTLM (Windows)
john --format=nt hashes.txt4. Benchmark
john --test5. Dopo il test
Per ogni password trovata debole:
- Forzare il cambio password per l’utente
- Implementare policy di complessità in PAM
- Considerare l’uso di un password manager
Risultato: Identificazione di password deboli nel sistema prima che lo faccia un attaccante.