Cum să spargeți o parolă

Cuprins:

Anonim

Ce este cracarea parolei?

Cracarea parolelor este procesul de încercare de a obține acces neautorizat la sistemele restricționate folosind parole comune sau algoritmi care ghicesc parolele. Cu alte cuvinte, este o artă de a obține parola corectă care oferă acces la un sistem protejat printr-o metodă de autentificare.

Cracarea parolelor utilizează o serie de tehnici pentru a-și atinge obiectivele. Procesul de cracare poate implica fie compararea parolelor stocate cu lista de cuvinte, fie utilizarea algoritmilor pentru a genera parole care se potrivesc

În acest tutorial, vă vom prezenta tehnicile obișnuite de cracare a parolelor și contramăsurile pe care le puteți implementa pentru a proteja sistemele împotriva acestor atacuri.

Subiecte tratate în acest tutorial

  • Ce este puterea parolei?
  • Tehnici de cracare a parolelor
  • Instrumente de cracare a parolei
  • Măsuri de contracarare a cracării parolei
  • Misiunea de piratare: hack acum!

Ce este puterea parolei?

Puterea parolei este măsura eficienței unei parole pentru a rezista atacurilor de cracare a parolei . Puterea unei parole este determinată de;

  • Lungime : numărul de caractere pe care le conține parola.
  • Complexitate : folosește o combinație de litere, cifre și simbol?
  • Imprevizibilitatea : este ceva ce poate fi ghicit cu ușurință de către un atacator?

Să vedem acum un exemplu practic. Vom folosi trei parole și anume

1. parola

2. parola1

3. # parolă1 $

Pentru acest exemplu, vom utiliza indicatorul de intensitate a parolei Cpanel atunci când creăm parole. Imaginile de mai jos prezintă punctele forte ale parolelor fiecăreia dintre parolele enumerate mai sus.

Notă : parola utilizată este parola, puterea este 1 și este foarte slabă.

Notă : parola utilizată este password1, puterea este 28 și este încă slabă.

Notă : Parola utilizată este # password1 $ puterea este 60 și este puternică.

Cu cât este mai mare numărul puterii, cu atât este mai bună parola.

Să presupunem că trebuie să stocăm parolele de mai sus folosind criptarea md5. Vom folosi un generator de hash online md5 pentru a ne converti parolele în hash-uri md5.

Tabelul de mai jos prezintă hashurile pentru parole

Parola MD5 Hash Indicator de rezistență Cpanel
parola 5f4dcc3b5aa765d61d8327deb882cf99 1
parola1 7c6a180b36896a0a8c02787eeafb0e4c 28
# parolă1 $ 29e08fb7103c327d68327f23d8d9256c 60

Acum vom folosi http://www.md5this.com/ pentru a sparge hashurile de mai sus. Imaginile de mai jos arată rezultatele cracării parolei pentru parolele de mai sus.

După cum puteți vedea din rezultatele de mai sus, am reușit să spargem prima și a doua parolă cu numere de rezistență mai mici. Nu am reușit să spargem a treia parolă, care era mai lungă, complexă și imprevizibilă. Avea un număr de rezistență mai mare.

Tehnici de cracare a parolelor

Există o serie de tehnici care pot fi utilizate pentru a sparge parolele . Vom descrie cele mai frecvent utilizate mai jos;

  • Atac de dicționar - Această metodă implică utilizarea unei liste de cuvinte pentru a compara cu parolele utilizatorilor.
  • Atac cu forță brută - Această metodă este similară cu atacul din dicționar. Atacurile cu forță brută utilizează algoritmi care combină caractere alfa-numerice și simboluri pentru a veni cu parole pentru atac. De exemplu, o parolă cu valoarea „parolă” poate fi încercată și ca cuvânt p @ $$ folosind atacul forței brute.
  • Atac de masă curcubeu - Această metodă utilizează hashuri precomputate. Să presupunem că avem o bază de date care stochează parolele ca hash md5. Putem crea o altă bază de date care are hash-uri md5 de parole utilizate în mod obișnuit. Putem apoi compara hash-ul de parolă pe care îl avem cu hash-urile stocate în baza de date. Dacă se găsește o potrivire, atunci avem parola.
  • Ghici - După cum sugerează și numele, această metodă implică ghicirea. Parolele precum qwerty, parola, administratorul etc. sunt utilizate în mod obișnuit sau setate ca parole implicite. Dacă nu au fost modificate sau dacă utilizatorul este neglijent atunci când selectează parolele, atunci acestea pot fi ușor compromise.
  • Spidering - Majoritatea organizațiilor folosesc parole care conțin informații despre companie. Aceste informații pot fi găsite pe site-urile companiei, pe rețelele sociale precum Facebook, Twitter etc. Spidering colectează informații din aceste surse pentru a veni cu liste de cuvinte. Lista de cuvinte este apoi utilizată pentru a efectua atacuri de dicționar și forță brută.

Spidering eșantion dicționar atac lista de cuvinte 

1976 smith jones acme built|to|last golfing|chess|soccer  

Instrument de cracare a parolei


Acestea sunt programe software care sunt utilizate pentru a sparge parolele utilizatorilor . Ne-am uitat deja la un instrument similar în exemplul de mai sus cu privire la punctele forte ale parolelor. Site-ul www.md5this.com folosește o masă curcubeu pentru a sparge parolele. Vom analiza acum câteva dintre instrumentele utilizate în mod obișnuit


Ioan Spintecătorul


John the Ripper folosește promptul de comandă pentru a sparge parolele. Acest lucru îl face potrivit pentru utilizatorii avansați care se simt confortabil să lucreze cu comenzi. Folosește lista de cuvinte pentru a sparge parolele. Programul este gratuit, dar lista de cuvinte trebuie cumpărată. Are liste de cuvinte alternative gratuite pe care le puteți folosi. Accesați site-ul web al produsului https://www.openwall.com/john/ pentru mai multe informații și cum să îl utilizați.


Cain și Abel


Cain și Abel rulează pe ferestre. Este folosit pentru recuperarea parolelor pentru conturile de utilizator, recuperarea parolelor Microsoft Access; sniffing în rețea, etc. Spre deosebire de John the Ripper, Cain și Abel folosesc o interfață grafică de utilizator. Este foarte frecvent în rândul începătorilor și al copiilor cu scripturi datorită simplității sale de utilizare. Accesați site-ul web al produsului https://www.softpedia.com/get/Security/Decrypting-Decoding/Cain-and-Abel.shtml pentru mai multe informații și cum să îl utilizați.





Ophcrack


Ophcrack este un cracker multi-platform Windows care utilizează tabele curcubeu pentru a sparge parolele. Funcționează pe Windows, Linux și Mac OS. De asemenea, are un modul pentru atacuri de forță brută, printre alte caracteristici. Accesați site-ul web al produsului https://ophcrack.sourceforge.io/ pentru mai multe informații și cum să îl utilizați.



Măsuri de contracarare a cracării parolei


    

  • O organizație poate utiliza următoarele metode pentru a reduce șansele ca parolele să fie sparte
    • 

  • Evitați parolele scurte și ușor previzibile
    • 

  • Evitați utilizarea parolelor cu modele previzibile, cum ar fi 11552266.
    • 

  • Parolele stocate în baza de date trebuie întotdeauna criptate. Pentru criptările md5, este mai bine să săriți hashurile de parolă înainte de a le memora. Saltarea implică adăugarea unui cuvânt la parola furnizată înainte de a crea hash-ul.
    • 

  • Majoritatea sistemelor de înregistrare au indicatori de intensitate a parolei, organizațiile trebuie să adopte politici care să favorizeze numerele de intensitate a parolei.
    • 




Activitate de hacking: hack acum!


În acest scenariu practic, vom sparge contul Windows cu o parolă simplă . Windows utilizează hash-uri NTLM pentru a cripta parolele . Pentru a face acest lucru, vom folosi instrumentul de cracker NTLM din Cain și Abel.


Cain și Abel cracker pot fi utilizate pentru a sparge parolele folosind;


    

  • Dicționar attack
    • 

  • Forta bruta
    • 

  • Criptanaliza
    • 



Vom folosi atacul dicționar în acest exemplu. Va trebui să descărcați lista de cuvinte pentru atacul dicționar aici 10k-Most-Common.zip


Pentru această demonstrație, am creat un cont numit Conturi cu parola qwerty pe Windows 7.



Pași de cracare a parolei


    

  • Deschideți Cain și Abel , veți obține următorul ecran principal
    • 



    

  • Asigurați-vă că fila cracker este selectată așa cum se arată mai sus
    • 

  • Faceți clic pe butonul Adăugare de pe bara de instrumente.
    • 



    

  • Va apărea următoarea fereastră de dialog
    • 



    

  • Conturile de utilizator locale vor fi afișate după cum urmează. Rețineți că rezultatele afișate vor fi ale conturilor de utilizator de pe computerul dvs. local.
    • 



    

  • Faceți clic dreapta pe contul pe care doriți să îl spargeți. Pentru acest tutorial, vom folosi Conturi ca cont de utilizator.
    • 



    

  • Va apărea următorul ecran
    • 



    

  • Faceți clic dreapta pe secțiunea dicționar și selectați Adăugați la meniu listă așa cum se arată mai sus
    • 

  • Navigați la cel mai comun fișier 10t.txt pe care tocmai l-ați descărcat
    • 



    

  • Faceți clic pe butonul Start
    • 

  • Dacă utilizatorul a folosit o parolă simplă precum qwerty, atunci ar trebui să puteți obține următoarele rezultate.
    • 



    

  • Notă : timpul necesar pentru a sparge parola depinde de puterea parolei, complexitatea și puterea de procesare a mașinii dvs.
    • 

  • Dacă parola nu este spartă folosind un atac de dicționar, puteți încerca atacurile de forță brută sau de criptanaliză.
    • 




rezumat


    

  • Cracarea parolelor este arta recuperării parolelor stocate sau transmise.
    • 

  • Puterea parolei este determinată de lungimea, complexitatea și imprevizibilitatea unei valori de parolă.
    • 

  • Tehnicile uzuale de parolă includ atacuri de dicționar, forță brută, mese curcubeu, păianjen și cracking.
    • 

  • Instrumentele de cracare a parolelor simplifică procesul de cracare a parolelor.
    •