【TechTarget中国原创】信息安全的基本原则之一是确保系统使用强大的密码：即有一定长度，混合字母、数字和其它特殊字符的密码。确定你的密码是否强大的一个方法是，把你的密码输入密码检验器里，例如微软的密码检验器。微软的工具可以检查足够的长度和复杂度。

　　这些更为复杂的密码，被认为是“强大”，因为他们比简短、更容易猜的密码要花费更长的时间来破解。但是，即使强大的密码，使用一个叫做Ophcrack的开放源代码的工具，也能够在数秒内破解。

　　Ophcrack是一个非常快速的密码破解器，因为它使用一个叫做彩虹表（Rainbow tables）的特别运算法则。强力破解工具通常每秒尝试破解成千上万种字母、数字和特别字符的组合。但是，通过尝试每个可能的组合来破解一个密码，需要花费几个小时或者几天。彩虹表预先计算密码使用的哈希表，通过比较已有的哈希表，允许快速密码查找，而不是从头开始计算它们。

　　从另一种方法考虑它，有人已经使用与Windows XP和Vista一样的运算法则，将数百万计的潜在密码生成密码哈希表。Ophcrack简单地加载已有哈希表的兆字节，并且把Windows中的密码哈希表和其巨大的数据库进行比较。当匹配时，Ophcrack以纯文本格式显示密码。

　　Ophcrack在局域网管理器（LM）和NT局域网管理器（NTLM）哈希表中工作，并且有可以破解Windows XP和Windows Vista密码的彩虹表。它带有一个光滑的GUI，可以在Windows、Linux/Unix和Mac OS X上运行，或者来自可启动的LiveCD。Ophcrack有能力从安全帐户管理器（SAM，Security Accounts Manager）里获取密码哈希表。SAM是Windows用于存储那些受保护的用户密码的注册表数据库。

　　Ophcrack不是恶意软件，有其合法用途。例如，大多数Windows密码恢复工具会用一个新密码代替一个旧密码，但是在打开鉴定调查中发现其他档案时，知道真实的密码可能是有用的。此外，用Ophcrack测试一个已知的密码，使彩虹表达到最佳，能帮助验证密码是否非常强大。

　　不过，Ophcrack使用的访问SAM的工具之一是pwdump。在安装过程中，许多病毒扫描程序会把它作为恶意软件，进行标记并隔离，因为它能创建用于盗窃数据的秘密远程连接。Ophcrack需要pwdump，以在SAM中转储哈希表，因此它与pwdump的结合，也许会为一些道德黑客提供一个不安的风险水平。