- Tổng hợp 12 tool cracking password quan trọng nhất trong pentest & red team: Hashcat, John the Ripper, Hydra, Aircrack-ng và 8 tool khác — kèm benchmark GPU thực tế trên RTX 4090/5090, so sánh online vs offline, và disclaimer pháp lý bắt buộc trước khi chạy.
TL;DR
Có 12 công cụ crack password được cộng đồng pentest coi là chuẩn công nghiệp — chia 3 nhóm: offline hash cracking (Hashcat, John the Ripper, RainbowCrack, Ophcrack, Cain & Abel), online service brute-force (Hydra, Medusa, Ncrack, Patator, THC-Hydra GUI), và chuyên protocol (Aircrack-ng cho Wi-Fi, Burp Suite Intruder cho web). 11/12 tool hoàn toàn free & open-source. Benchmark thực tế: RTX 4090 crack MD5 ~164 GH/s, NTLM ~288 GH/s, bcrypt ~14 kH/s. Chỉ dùng trong lab hoặc môi trường đã được uỷ quyền — ngoài phạm vi đó là tội hình sự.
Góc nhìn 2026
Danh sách 12 tool này không phải mới — hầu hết ra đời từ đầu 2000s. Nhưng 2026 có vài chuyển dịch đáng chú ý: GPU RTX 5090 đẩy Hashcat lên ~240 GH/s MD5 và ~420 GH/s NTLM, gần gấp rưỡi RTX 4090. Burp Suite tích hợp AI-assisted fuzzing cho Intruder. Passkey & WebAuthn được adopt rộng đang làm giảm hiệu quả của nhóm online brute-force. Rainbow table (RainbowCrack, Ophcrack) gần như chết lâm sàng khi toàn bộ hash hiện đại đều salt.
Tại sao cần biết
Attack mindset = real security. Bạn không thể đặt password policy tử tế nếu không biết tool nào crack được bao nhiêu hash/giây, và khi nào một hash scheme trở nên vô dụng. Knowing Hashcat chạy ~164 GH/s MD5 trên 1 card RTX 4090 nghĩa là một password MD5 không salt 8 ký tự ASCII (~7.2 * 10¹⁵ combinations) có thể bị thử vét cạn trong khoảng 12 giờ. Đây là lý do NIST đã khuyến nghị bcrypt/scrypt/argon2id thay vì MD5/SHA1 từ lâu — và bcrypt cost 12 khiến cùng card đó chỉ chạy được ~14k hashes/giây, chậm hơn 11 triệu lần.
Technical facts — 12 tool, 1 bảng
| # | Tool | Nhóm | Điểm mạnh |
|---|---|---|---|
| 1 | Hashcat | Offline (GPU) | 300+ hash modes, nhanh nhất thế giới |
| 2 | John the Ripper | Offline (CPU+GPU) | Auto-detect hash, rule mạnh, recovery file mã hoá |
| 3 | Hydra | Online network | 50+ protocol: SSH, FTP, RDP, HTTP, SMB... |
| 4 | Aircrack-ng | Wi-Fi | WEP/WPA/WPA2 capture + crack suite |
| 5 | Medusa | Online network | Parallel brute-force module-based, nhẹ |
| 6 | RainbowCrack | Offline table | Precomputed hash chain — nhanh với hash không salt |
| 7 | Cain & Abel | Legacy Windows | Sniff + ARP + crack all-in-one (không còn maintain) |
| 8 | Ophcrack | Offline Windows | LM/NTLM rainbow table, GUI |
| 9 | THC-Hydra GUI | Online network | Wrapper GTK cho Hydra CLI |
| 10 | Ncrack | Online network | Do Nmap team làm, SSH/RDP/VNC focus |
| 11 | Burp Suite Intruder | Online web | Web form, session, parameter fuzzing |
| 12 | Patator | Online modular | Python, viết module tuỳ chỉnh cho protocol lạ |
Benchmark GPU thực tế (Hashcat v6.2.6)
| Hash | RTX 4090 | RTX 5090 (ước lượng) |
|---|---|---|
| MD5 | ~164 GH/s | ~240 GH/s |
| NTLM | ~288 GH/s (có thể ~300 GH/s khi OC) | ~420 GH/s |
| bcrypt (cost 5) | ~14 kH/s | ~20 kH/s |
| WPA2 | ~2.6 MH/s | ~3.8 MH/s |
Comparison — chọn tool nào khi nào
- Hashcat vs John the Ripper: Hashcat vô địch khi có GPU & tập hash lớn. John dễ dùng hơn, auto-detect hash type, mạnh ở rule-based và password recovery từ file mã hoá (ZIP, PDF, KeePass). Một nghiên cứu so sánh cho thấy John đạt 62.5% success rate với rule-based, Hashcat 56.25% trên cùng test set nhỏ. Pros thường dùng cả hai.
- Hydra vs Medusa vs Ncrack: Hydra là mặc định vì nhiều protocol nhất. Ncrack tối ưu cho network auth (SSH/RDP/VNC). Medusa nhẹ, ổn định hơn trên kết nối chậm. Patator khi bạn cần viết module riêng cho protocol lạ hoặc response parsing phức tạp.
- Rainbow (RainbowCrack/Ophcrack) vs brute-force: Rainbow gần như chết — mọi hash scheme hiện đại đều salt. Chỉ còn value với legacy LM/NTLM hoặc MD5 không salt trong dữ liệu rò rỉ cũ.
Use cases — ai cần cái nào
- Red team / pentester: Hashcat + John + Hydra + Burp Intruder là bộ tứ hàng ngày.
- Blue team: dùng chính các tool này để generate attack signature, test rate-limit, đo password entropy nội bộ, validate detection rule SIEM.
- DFIR analyst: John + Hashcat để recover password từ evidence file (Office, PDF, KeePass, BitLocker).
- CTF player: Hashcat/John là bread & butter cho crypto & forensics challenge.
- Wireless auditor: Aircrack-ng capture 4-way handshake rồi pipeline sang Hashcat mode 22000 để GPU-crack.
- Web pentester: Burp Intruder cho login form, session token, IDOR, parameter fuzzing.
Limitations & pricing
Pricing: 11/12 tool free & open-source. Burp Suite Professional $475/năm — Community edition free nhưng Intruder bị throttle đến mức gần không dùng được cho brute-force thực tế.
Legal: Chạy các tool này trên hệ thống không được uỷ quyền = tội phạm hình sự. Mỹ: Computer Fraud and Abuse Act (CFAA). UK: Computer Misuse Act. Việt Nam: Bộ luật Hình sự 2015 điều 289 về tội xâm nhập trái phép mạng máy tính. Chỉ dùng trong: CTF, home lab, bug bounty scope, pentest có hợp đồng rõ ràng.
Detection: Toàn bộ nhóm online (Hydra/Medusa/Ncrack/Patator/Burp) tạo lượng failed-auth log lớn → dễ bị SIEM/WAF phát hiện. Red team thực chiến phải throttle, rotate IP, và hiểu log chain của target.
Modern defenses đang giết dần các tool này: MFA, WebAuthn/passkey, rate limiting, account lockout, password hashing hiện đại (argon2id, bcrypt cost ≥12), Windows Credential Guard. Biết tool nào yếu ở đâu giúp bạn đặt defense đúng chỗ.
What's next
Ba xu hướng định hình password cracking 2026–2027: (1) GPU cloud cracking — thuê RTX 4090/5090 cluster theo giờ trên vast.ai hay Lambda Labs làm thay đổi hoàn toàn cost model của offline crack. (2) AI-assisted fuzzing — Burp AI và các wordlist generator dựa trên LLM tạo payload thông minh hơn rule-based truyền thống. (3) Post-quantum & passwordless — passkey adoption tăng mạnh đẩy cả ngành dần rời khỏi password, khiến nhóm tool này trở thành kỹ năng "legacy but critical" cho ai làm forensics & audit hệ thống cũ.
Attack mindset = real security. Nhưng ethics & authorization luôn đi trước tool.
Nguồn: DEV Community, Online Hash Crack, Tech Tutorials, Aircrack-ng Wikipedia, @VivekIntel.
