老牌的Windows系統(tǒng)密碼審計(jì)工具L0phtCrack正式宣布開(kāi)源!

Christien Rioux (DilDog)是L0phtCrack的最初作者之一，也是黑客團(tuán)體L0pht Heavy Industries的成員。20多年前，他在DEF CON大會(huì)期間發(fā)布該工具的開(kāi)源版本。在成功解決了與業(yè)務(wù)相關(guān)的障礙之后，本周發(fā)布的L0phtCrack將作為一個(gè)開(kāi)源軟件實(shí)用程序發(fā)布。

Terahash在2020年4月曾宣布將收購(gòu)這個(gè)密碼審計(jì)工具，但由于一直拖欠資金最終導(dǎo)致該筆交易以失敗收?qǐng)?，因此?021年6月 L0phtCrack的所有權(quán)重新回到 Rioux 和他的同事手中。據(jù)the Daily Swig報(bào)道，在Terahash對(duì)該項(xiàng)目進(jìn)行管理的 15 個(gè)月時(shí)間里，L0phtCrack沒(méi)有進(jìn)行過(guò)任何更新，甚至是錯(cuò)誤修復(fù)。

Rioux和他在L0pht Heavy Industries的前黑客同事決定不去尋找替代買(mǎi)家，而是作為一個(gè)開(kāi)源項(xiàng)目進(jìn)一步開(kāi)發(fā)這項(xiàng)技術(shù)。盡管作為一個(gè)獨(dú)立項(xiàng)目很難獲得商業(yè)支持，但這項(xiàng)技術(shù)仍有未來(lái)。

Rioux告訴The Daily Swig:“這仍然是一個(gè)商業(yè)上可行的產(chǎn)品，它很小，不需要進(jìn)一步投資的開(kāi)發(fā)團(tuán)隊(duì)。‘人們是否愿意花錢(qián)’和‘人們是否愿意花時(shí)間去支持它’之間存在著巨大的區(qū)別。”

Wysopal對(duì)這項(xiàng)技術(shù)有很大的野心，現(xiàn)在L0phtCrack 7.2.0已經(jīng)發(fā)布到開(kāi)源社區(qū)：

• 越來(lái)越多的開(kāi)發(fā)者會(huì)參與進(jìn)來(lái)，協(xié)助維護(hù)和開(kāi)發(fā)項(xiàng)目
• 插件系統(tǒng)和API形式化，支持多種破解工具，如HashCat
• 對(duì)新版Windows和其他操作系統(tǒng)的支持依然會(huì)保持
• 與更多的哈希收集機(jī)制的整合，如 Responder

另一個(gè)開(kāi)發(fā)者 Wysopal 表示：我希望像OWASP或類似的組織或其他有意愿的開(kāi)發(fā)者可以參與進(jìn)來(lái)。我認(rèn)為這個(gè)框架最終可能不僅僅是一個(gè)密碼破解工具，還可以用于普通的‘安全審計(jì)’任務(wù)的一般自動(dòng)化。” 

Rioux從事L0phtCrack的代碼編寫(xiě)工作已經(jīng)20多年了，因此，現(xiàn)在是時(shí)候退居二線了，讓其他開(kāi)發(fā)者可以在參與項(xiàng)目開(kāi)發(fā)的同時(shí)也能發(fā)揮領(lǐng)導(dǎo)的租用，L0phtCrack有一個(gè)靈活的插件體系結(jié)構(gòu)，可以不斷進(jìn)行擴(kuò)展，以支持更好的服務(wù)。

鏈接：https://portswigger.net/daily-swig/l0phtcrack-password-auditing-tool-goes-open-source