jpskill.com
🛠️ 開発・MCP コミュニティ

crack-hashcat

高度なパスワード解析ツールで、セキュリティ監査やフォレンジック調査において、様々な暗号アルゴリズムや攻撃手法を用いてハッシュ化されたパスワードを解析・復元し、パスワードポリシーの強度を検証するSkill。

📜 元の英語説明(参考)

Advanced password recovery and hash cracking tool supporting multiple algorithms and attack modes. Use when: (1) Performing authorized password auditing and security assessments, (2) Recovering passwords from captured hashes in forensic investigations, (3) Testing password policy strength and complexity, (4) Validating encryption implementations, (5) Conducting security research on cryptographic hash functions, (6) Demonstrating password weakness in penetration testing reports.

🇯🇵 日本人クリエイター向け解説

一言でいうと

高度なパスワード解析ツールで、セキュリティ監査やフォレンジック調査において、様々な暗号アルゴリズムや攻撃手法を用いてハッシュ化されたパスワードを解析・復元し、パスワードポリシーの強度を検証するSkill。

※ jpskill.com 編集部が日本のビジネス現場向けに補足した解説です。Skill本体の挙動とは独立した参考情報です。

⚡ おすすめ: コマンド1行でインストール(60秒)

下記のコマンドをコピーしてターミナル(Mac/Linux)または PowerShell(Windows)に貼り付けてください。 ダウンロード → 解凍 → 配置まで全自動。

🍎 Mac / 🐧 Linux 
mkdir -p ~/.claude/skills && cd ~/.claude/skills && curl -L -o crack-hashcat.zip https://jpskill.com/download/17023.zip && unzip -o crack-hashcat.zip && rm crack-hashcat.zip
🪟 Windows (PowerShell) 
$d = "$env:USERPROFILE\.claude\skills"; ni -Force -ItemType Directory $d | Out-Null; iwr https://jpskill.com/download/17023.zip -OutFile "$d\crack-hashcat.zip"; Expand-Archive "$d\crack-hashcat.zip" -DestinationPath $d -Force; ri "$d\crack-hashcat.zip"

完了後、Claude Code を再起動 → 普通に「動画プロンプト作って」のように話しかけるだけで自動発動します。

💾 手動でダウンロードしたい(コマンドが難しい人向け)
  1. 1. 下の青いボタンを押して crack-hashcat.zip をダウンロード
  2. 2. ZIPファイルをダブルクリックで解凍 → crack-hashcat フォルダができる
  3. 3. そのフォルダを C:\Users\あなたの名前\.claude\skills\(Win)または ~/.claude/skills/(Mac)へ移動
  4. 4. Claude Code を再起動
⬇ .zip でダウンロード(推奨) ⬇ .skill 形式(上級者用) 元のソース ↗

⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。

🎯 このSkillでできること

下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。

📦 インストール方法 (3ステップ)

  1. 1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
  2. 2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
  3. 3. 展開してできたフォルダを、ホームフォルダの .claude/skills/ に置く
    • · macOS / Linux: ~/.claude/skills/
    • · Windows: %USERPROFILE%\.claude\skills\

Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。

詳しい使い方ガイドを見る →
最終更新
2026-05-18
取得日時
2026-05-18
同梱ファイル
5

📖 Skill本文(日本語訳)

※ 原文(英語/中国語)を Gemini で日本語化したものです。Claude 自身は原文を読みます。誤訳がある場合は原文をご確認ください。

Hashcat パスワードリカバリ

概要

Hashcat は世界最速のパスワードリカバリツールであり、300 以上のハッシュアルゴリズムと複数の攻撃モードをサポートしています。このスキルでは、許可されたパスワード監査、フォレンジックパスワードリカバリ、およびセキュリティ研究アプリケーションについて説明します。

重要: パスワードクラッキングは、クラックする権限を与えられたハッシュに対してのみ実行する必要があります。許可されていないパスワードクラッキングは違法です。常に適切な許可と法的遵守を確保してください。

クイックスタート

基本的なパスワードクラッキング:

# ハッシュタイプの特定
hashcat --example-hashes | grep -i md5

# MD5 ハッシュに対する辞書攻撃
hashcat -m 0 -a 0 hashes.txt wordlist.txt

# クラックされたパスワードの表示
hashcat -m 0 hashes.txt --show

# システムパフォーマンスのベンチマーク
hashcat -b

コアワークフロー

パスワードクラッキングワークフロー

進捗状況: [ ] 1. パスワードクラッキングの許可の検証 [ ] 2. ハッシュアルゴリズムタイプの特定 [ ] 3. ハッシュファイルとワードリストの準備 [ ] 4. 適切な攻撃モードの選択 [ ] 5. クラッキング操作の実行 [ ] 6. クラックされたパスワードの分析 [ ] 7. パスワードポリシーの弱点の文書化 [ ] 8. ハッシュファイルと結果の安全な削除

各ステップを体系的に進めてください。完了した項目をチェックしてください。

1. 許可の検証

重要: パスワードクラッキングの前に:

  • データ所有者からの書面による許可を確認する
  • キャプチャされたハッシュをクラックする法的権利を検証する
  • データ処理と保持の要件を理解する
  • フォレンジックケースの保管連鎖を文書化する
  • クラックされたパスワードの安全な保管を確保する

2. ハッシュの識別

ハッシュアルゴリズムを識別する:

# サポートされているすべてのハッシュタイプを表示
hashcat --example-hashes

# 一般的なハッシュタイプ
hashcat --example-hashes | grep -i "MD5"
hashcat --example-hashes | grep -i "SHA"
hashcat --example-hashes | grep -i "NTLM"

# hash-identifier の使用 (別のツール)
hash-identifier
# プロンプトが表示されたらハッシュを貼り付けます

# Hashcat モード番号 (一般的)
# 0 = MD5
# 100 = SHA1
# 1000 = NTLM
# 1400 = SHA256
# 1800 = sha512crypt
# 3200 = bcrypt
# 5600 = NetNTLMv2
# 13100 = Kerberos 5 TGS-REP

3. ハッシュファイルの準備

ハッシュファイルを準備する:

# シンプルなハッシュファイル (1 行に 1 つのハッシュ)
echo "5f4dcc3b5aa765d61d8327deb882cf99" > hashes.txt

# ユーザー名付きハッシュ (username:hash 形式)
cat > hashes.txt <<EOF
admin:5f4dcc3b5aa765d61d8327deb882cf99
user1:098f6bcd4621d373cade4e832627b4f6
EOF

# ソルト付きハッシュ (一部のアルゴリズムでは hash:salt 形式)
echo "hash:salt" > hashes.txt

# /etc/shadow から (Linux)
sudo cat /etc/shadow | grep -v "^#" | grep -v ":\*:" | grep -v ":!:" > shadow_hashes.txt

# NTDS.dit から (Active Directory)
secretsdump.py -ntds ntds.dit -system SYSTEM -hashes lmhash:nthash LOCAL > ad_hashes.txt

4. 攻撃モード

適切な攻撃モードを選択する:

辞書攻撃 (モード 0):

# 基本的な辞書攻撃
hashcat -m 0 -a 0 hashes.txt rockyou.txt

# 複数のワードリスト
hashcat -m 0 -a 0 hashes.txt wordlist1.txt wordlist2.txt

# ルール付き
hashcat -m 0 -a 0 hashes.txt rockyou.txt -r rules/best64.rule

コンビネータ攻撃 (モード 1):

# 2 つのワードリストから単語を組み合わせる
hashcat -m 0 -a 1 hashes.txt wordlist1.txt wordlist2.txt

ブルートフォース攻撃 (モード 3):

# すべて小文字、8 文字
hashcat -m 0 -a 3 hashes.txt ?l?l?l?l?l?l?l?l

# 大文字と小文字、数字の組み合わせ、6 文字
hashcat -m 0 -a 3 hashes.txt ?1?1?1?1?1?1 -1 ?l?u?d

# カスタム文字セット
hashcat -m 0 -a 3 hashes.txt ?1?1?1?1?1?1?1?1 -1 abc123

マスク攻撃 (パターン付きモード 3):

# パスワード形式: 大文字 + 小文字 6 文字 + 数字 2 桁
hashcat -m 0 -a 3 hashes.txt ?u?l?l?l?l?l?l?d?d

# 年パターン: 単語 + 数字 4 桁 (2019-2024)
hashcat -m 0 -a 3 hashes.txt password?d?d?d?d

# 一般的なパターン
hashcat -m 0 -a 3 hashes.txt ?u?l?l?l?l?l?l?d?d?s  # 大文字 + 単語 + 数字 + 特殊文字

ハイブリッド攻撃 (モード 6 & 7):

# ワードリスト + マスク (追加)
hashcat -m 0 -a 6 hashes.txt wordlist.txt ?d?d?d?d

# マスク + ワードリスト (先頭に追加)
hashcat -m 0 -a 7 hashes.txt ?d?d?d?d wordlist.txt

文字セット:

  • ?l = 小文字 (abcdefghijklmnopqrstuvwxyz)
  • ?u = 大文字 (ABCDEFGHIJKLMNOPQRSTUVWXYZ)
  • ?d = 数字 (0123456789)
  • ?s = 特殊文字 (!@#$%^&*...)
  • ?a = すべての文字 (l+u+d+s)
  • ?b = すべての印刷可能な ASCII

5. パフォーマンスの最適化

クラッキングパフォーマンスを最適化する:

# GPU アクセラレーションの使用
hashcat -m 0 -a 0 hashes.txt wordlist.txt -w 3

# ワークロードプロファイル
# -w 1 = 低 (デスクトップで使用可能)
# -w 2 = デフォルト
# -w 3 = 高 (専用クラッキング)
# -w 4 = ナイトメア (最大パフォーマンス)

# GPU デバイスの指定
hashcat -m 0 -a 0 hashes.txt wordlist.txt -d 1

# パフォーマンスベンチマークの表示
hashcat -b

# カーネルの最適化
hashcat -m 0 -a 0 hashes.txt wordlist.txt -O

# 推定時間の表示
hashcat -m 0 -a 0 hashes.txt wordlist.txt --runtime=3600

6. ルールとミューテーション

パスワードミューテーションルールを適用する:

# ルールファイルの使用
hashcat -m 0 -a 0 hashes.txt wordlist.txt -r rules/best64.rule

# 複数のルールファイル
hashcat -m 0 -a 0 hashes.txt wordlist.txt -r rules/best64.rule -r rules/leetspeak.rule

# 一般的な Hashcat ルール
# best64.rule - 速度/カバレッジに最適な 64 個のルール
# dive.rule - 深いミューテーション
# toggles1.rule - 大文字と小文字の切り替え
# generated2.rule - 複雑なミューテーション

# カスタムルールの例
# : = 何もしない
# l = すべて小文字にする
# u = すべて大文字にする
# c = 最初を大文字にし、残りを小文字にする
# $1 = "1" を追加する
# ^2 = "2" を先頭に追加する
# sa@ = 'a' を '@' に置き換える

7. セッション管理

クラッキングセッションを管理する:

# セッションの保存
hashcat -m 0 -a 0 hashes.txt wordlist.txt --session=mysession

# セッションの復元
hashcat --session=mysession --restore

# ステータスの表示
hashcat --session=mysession --status

# セッションの削除
hashcat --session=mysession --remove

# 60 秒ごとに自動チェックポイント
hashcat -m 0 -a 0 hashes.txt wordlist.txt --session=mysession --restore-file-path=/path/to/checkpoint

8. 結果とレポート

結果の表示とエクスポート:


# クラックされたパスワードの表示
hashcat -m 0 hashes.txt --show

# ユーザー名とパスワードのみを表示

(原文がここで切り詰められています)
📜 原文 SKILL.md(Claudeが読む英語/中国語)を展開

Hashcat Password Recovery

Overview

Hashcat is the world's fastest password recovery tool, supporting over 300 hash algorithms and multiple attack modes. This skill covers authorized password auditing, forensic password recovery, and security research applications.

IMPORTANT: Password cracking must only be performed on hashes you are authorized to crack. Unauthorized password cracking is illegal. Always ensure proper authorization and legal compliance.

Quick Start

Basic password cracking:

# Identify hash type
hashcat --example-hashes | grep -i md5

# Dictionary attack on MD5 hash
hashcat -m 0 -a 0 hashes.txt wordlist.txt

# Show cracked passwords
hashcat -m 0 hashes.txt --show

# Benchmark system performance
hashcat -b

Core Workflow

Password Cracking Workflow

Progress: [ ] 1. Verify authorization for password cracking [ ] 2. Identify hash algorithm type [ ] 3. Prepare hash file and wordlists [ ] 4. Select appropriate attack mode [ ] 5. Execute cracking operation [ ] 6. Analyze cracked passwords [ ] 7. Document password policy weaknesses [ ] 8. Securely delete hash files and results

Work through each step systematically. Check off completed items.

1. Authorization Verification

CRITICAL: Before any password cracking:

  • Confirm written authorization from data owner
  • Verify legal right to crack captured hashes
  • Understand data handling and retention requirements
  • Document chain of custody for forensic cases
  • Ensure secure storage of cracked passwords

2. Hash Identification

Identify hash algorithm:

# Show all supported hash types
hashcat --example-hashes

# Common hash types
hashcat --example-hashes | grep -i "MD5"
hashcat --example-hashes | grep -i "SHA"
hashcat --example-hashes | grep -i "NTLM"

# Use hash-identifier (separate tool)
hash-identifier
# Paste hash when prompted

# Hashcat mode numbers (common)
# 0 = MD5
# 100 = SHA1
# 1000 = NTLM
# 1400 = SHA256
# 1800 = sha512crypt
# 3200 = bcrypt
# 5600 = NetNTLMv2
# 13100 = Kerberos 5 TGS-REP

3. Hash File Preparation

Prepare hash files:

# Simple hash file (one hash per line)
echo "5f4dcc3b5aa765d61d8327deb882cf99" > hashes.txt

# Hash with username (username:hash format)
cat > hashes.txt <<EOF
admin:5f4dcc3b5aa765d61d8327deb882cf99
user1:098f6bcd4621d373cade4e832627b4f6
EOF

# Hash with salt (hash:salt format for some algorithms)
echo "hash:salt" > hashes.txt

# From /etc/shadow (Linux)
sudo cat /etc/shadow | grep -v "^#" | grep -v ":\*:" | grep -v ":!:" > shadow_hashes.txt

# From NTDS.dit (Active Directory)
secretsdump.py -ntds ntds.dit -system SYSTEM -hashes lmhash:nthash LOCAL > ad_hashes.txt

4. Attack Modes

Choose appropriate attack mode:

Dictionary Attack (Mode 0):

# Basic dictionary attack
hashcat -m 0 -a 0 hashes.txt rockyou.txt

# Multiple wordlists
hashcat -m 0 -a 0 hashes.txt wordlist1.txt wordlist2.txt

# With rules
hashcat -m 0 -a 0 hashes.txt rockyou.txt -r rules/best64.rule

Combinator Attack (Mode 1):

# Combine words from two wordlists
hashcat -m 0 -a 1 hashes.txt wordlist1.txt wordlist2.txt

Brute-Force Attack (Mode 3):

# All lowercase letters, 8 characters
hashcat -m 0 -a 3 hashes.txt ?l?l?l?l?l?l?l?l

# Mixed case and numbers, 6 characters
hashcat -m 0 -a 3 hashes.txt ?1?1?1?1?1?1 -1 ?l?u?d

# Custom charset
hashcat -m 0 -a 3 hashes.txt ?1?1?1?1?1?1?1?1 -1 abc123

Mask Attack (Mode 3 with patterns):

# Password format: Uppercase + 6 lowercase + 2 digits
hashcat -m 0 -a 3 hashes.txt ?u?l?l?l?l?l?l?d?d

# Year pattern: word + 4 digits (2019-2024)
hashcat -m 0 -a 3 hashes.txt password?d?d?d?d

# Common patterns
hashcat -m 0 -a 3 hashes.txt ?u?l?l?l?l?l?d?d?s  # Capital + word + numbers + special

Hybrid Attacks (Modes 6 & 7):

# Wordlist + mask (append)
hashcat -m 0 -a 6 hashes.txt wordlist.txt ?d?d?d?d

# Mask + wordlist (prepend)
hashcat -m 0 -a 7 hashes.txt ?d?d?d?d wordlist.txt

Character Sets:

  • ?l = lowercase (abcdefghijklmnopqrstuvwxyz)
  • ?u = uppercase (ABCDEFGHIJKLMNOPQRSTUVWXYZ)
  • ?d = digits (0123456789)
  • ?s = special characters (!@#$%^&*...)
  • ?a = all characters (l+u+d+s)
  • ?b = all printable ASCII

5. Performance Optimization

Optimize cracking performance:

# Use GPU acceleration
hashcat -m 0 -a 0 hashes.txt wordlist.txt -w 3

# Workload profiles
# -w 1 = Low (desktop usable)
# -w 2 = Default
# -w 3 = High (dedicated cracking)
# -w 4 = Nightmare (max performance)

# Specify GPU device
hashcat -m 0 -a 0 hashes.txt wordlist.txt -d 1

# Show performance benchmark
hashcat -b

# Optimize kernel
hashcat -m 0 -a 0 hashes.txt wordlist.txt -O

# Show estimated time
hashcat -m 0 -a 0 hashes.txt wordlist.txt --runtime=3600

6. Rules and Mutations

Apply password mutation rules:

# Use rule file
hashcat -m 0 -a 0 hashes.txt wordlist.txt -r rules/best64.rule

# Multiple rule files
hashcat -m 0 -a 0 hashes.txt wordlist.txt -r rules/best64.rule -r rules/leetspeak.rule

# Common Hashcat rules
# best64.rule - Best 64 rules for speed/coverage
# dive.rule - Deep mutations
# toggles1.rule - Case toggles
# generated2.rule - Complex mutations

# Custom rule examples
# : = do nothing
# l = lowercase all
# u = uppercase all
# c = capitalize first, lowercase rest
# $1 = append "1"
# ^2 = prepend "2"
# sa@ = replace 'a' with '@'

7. Session Management

Manage cracking sessions:

# Save session
hashcat -m 0 -a 0 hashes.txt wordlist.txt --session=mysession

# Restore session
hashcat --session=mysession --restore

# Show status
hashcat --session=mysession --status

# Remove session
hashcat --session=mysession --remove

# Auto-checkpoint every 60 seconds
hashcat -m 0 -a 0 hashes.txt wordlist.txt --session=mysession --restore-file-path=/path/to/checkpoint

8. Results and Reporting

View and export results:

# Show cracked passwords
hashcat -m 0 hashes.txt --show

# Show only usernames and passwords
hashcat -m 0 hashes.txt --show --username

# Export to file
hashcat -m 0 hashes.txt --show > cracked.txt

# Show cracking statistics
hashcat -m 0 hashes.txt --show --status

# Left side (uncracked hashes)
hashcat -m 0 hashes.txt --left

Security Considerations

Authorization & Legal Compliance

  • Explicit Authorization: Written permission required for all password cracking
  • Forensic Chain of Custody: Maintain evidence integrity
  • Data Protection: Securely handle cracked passwords
  • Scope Limitation: Only crack specifically authorized hashes
  • Legal Jurisdiction: Understand applicable laws (CFAA, GDPR, etc.)

Operational Security

  • Secure Storage: Encrypt hash files and results
  • Offline Cracking: Perform on air-gapped systems when possible
  • Resource Management: Monitor system resources during cracking
  • Temperature: Ensure adequate cooling for extended GPU usage
  • Power: Use surge protection for hardware safety

Audit Logging

Document all password cracking activities:

  • Hash source and acquisition method
  • Authorization documentation
  • Hash algorithm and attack mode used
  • Cracking start and end timestamps
  • Success rate and crack time
  • Wordlists and rules applied
  • Password complexity analysis
  • Secure deletion of artifacts

Compliance

  • MITRE ATT&CK: T1110 (Brute Force)
    • T1110.002 (Password Cracking)
  • NIST SP 800-63B: Digital Identity Guidelines for passwords
  • PCI-DSS: Password security requirements
  • ISO 27001: A.9.4 Secret authentication information management

Common Patterns

Pattern 1: Windows Domain Password Audit

# Extract NTLM hashes from NTDS.dit
secretsdump.py -ntds ntds.dit -system SYSTEM LOCAL > ad_hashes.txt

# Crack NTLM hashes
hashcat -m 1000 -a 0 ad_hashes.txt rockyou.txt -r rules/best64.rule

# Show cracked Domain Admin accounts
hashcat -m 1000 ad_hashes.txt --show | grep -i "domain admins"

Pattern 2: Linux Password Audit

# Extract hashes from /etc/shadow
sudo unshadow /etc/passwd /etc/shadow > linux_hashes.txt

# Crack SHA-512 crypt hashes
hashcat -m 1800 -a 0 linux_hashes.txt rockyou.txt

# Analyze password complexity
hashcat -m 1800 linux_hashes.txt --show | awk -F: '{print length($2), $2}'

Pattern 3: Wi-Fi WPA2 Cracking

# Convert pcap to hashcat format (using cap2hccapx)
cap2hccapx capture.cap wpa.hccapx

# Crack WPA2 handshake
hashcat -m 22000 -a 0 wpa.hccapx rockyou.txt

# With mask attack for numeric passwords
hashcat -m 22000 -a 3 wpa.hccapx ?d?d?d?d?d?d?d?d

Pattern 4: Web Application Hash Cracking

# Crack MD5 hashes (web app database dump)
hashcat -m 0 -a 0 webapp_hashes.txt rockyou.txt -r rules/best64.rule

# Crack bcrypt hashes (slow but secure)
hashcat -m 3200 -a 0 bcrypt_hashes.txt wordlist.txt -w 3

# SHA256 with salt
hashcat -m 1400 -a 0 salted_hashes.txt wordlist.txt

Pattern 5: Kerberos TGT Cracking (Kerberoasting)

# Crack Kerberos 5 TGS-REP
hashcat -m 13100 -a 0 kerberos_tickets.txt rockyou.txt -r rules/best64.rule

# Focus on service accounts
hashcat -m 13100 -a 0 kerberos_tickets.txt wordlist.txt --username

Integration Points

Password Policy Analysis

#!/bin/bash
# analyze_passwords.sh - Password policy compliance check

CRACKED_FILE="$1"

echo "Password Length Distribution:"
awk -F: '{print length($2)}' "$CRACKED_FILE" | sort -n | uniq -c

echo -e "\nPasswords with Dictionary Words:"
grep -f /usr/share/dict/words "$CRACKED_FILE" | wc -l

echo -e "\nPasswords without Special Characters:"
grep -v "[!@#$%^&*]" "$CRACKED_FILE" | wc -l

echo -e "\nCommon Password Patterns:"
grep -E "^password|123456|qwerty" "$CRACKED_FILE" | wc -l

Reporting

# Generate password audit report
cat > audit_report.sh <<'EOF'
#!/bin/bash
TOTAL=$(wc -l < hashes.txt)
CRACKED=$(hashcat -m 1000 hashes.txt --show | wc -l)
PERCENT=$((CRACKED * 100 / TOTAL))

echo "Password Audit Report"
echo "===================="
echo "Total Hashes: $TOTAL"
echo "Cracked: $CRACKED"
echo "Success Rate: $PERCENT%"
echo ""
echo "Recommendations:"
echo "- Implement minimum password length of 12 characters"
echo "- Require complex passwords (upper, lower, digit, special)"
echo "- Enable multi-factor authentication"
echo "- Implement password history and rotation"
EOF
chmod +x audit_report.sh

Troubleshooting

Issue: Slow Cracking Speed

Solutions:

# Use optimized kernel
hashcat -m 0 -a 0 hashes.txt wordlist.txt -O

# Increase workload
hashcat -m 0 -a 0 hashes.txt wordlist.txt -w 3

# Check GPU utilization
hashcat -m 0 -a 0 hashes.txt wordlist.txt --status

# Verify GPU drivers
nvidia-smi  # For NVIDIA
rocm-smi    # For AMD

Issue: Out of Memory

Solutions:

# Reduce wordlist size
head -n 1000000 large_wordlist.txt > smaller_wordlist.txt

# Disable optimizations
hashcat -m 0 -a 0 hashes.txt wordlist.txt (remove -O flag)

# Split hash file
split -l 1000 hashes.txt hash_chunk_

Issue: Hash Format Errors

Solutions:

  • Verify hash mode (-m) matches hash type
  • Check hash file format (remove extra spaces, newlines)
  • Ensure proper salt format for salted hashes
  • Use --username flag if hashes include usernames

Defensive Considerations

Protect against password cracking:

Strong Password Policies:

  • Minimum length: 12+ characters
  • Complexity requirements (mixed case, numbers, special)
  • Prohibit common passwords
  • Implement password history
  • Regular password rotation for privileged accounts

Technical Controls:

  • Use strong hashing algorithms (bcrypt, scrypt, Argon2)
  • Implement salting and key stretching
  • Use adaptive hash functions
  • Enable multi-factor authentication
  • Implement account lockout policies
  • Monitor for brute-force attempts

Hash Storage Best Practices:

  • Never store plaintext passwords
  • Use strong, modern hashing algorithms
  • Implement per-password unique salts
  • Use appropriate iteration counts (bcrypt cost, PBKDF2 rounds)
  • Regularly update hashing parameters

References

同梱ファイル

※ ZIPに含まれるファイル一覧。`SKILL.md` 本体に加え、参考資料・サンプル・スクリプトが入っている場合があります。