Hvad er Password Cracking?

pass .ord cracking er processen med at forsøge at få uautoriseret adgang til begrænsede systemer ved hjælp af almindelige adgangskoder eller algoritmer, der gætter adgangskoder. Med andre ord er det en kunst at få den korrekte adgangskode, der giver adgang til et system, der er beskyttet af en godkendelsesmetode.

pass Passwordord cracking anvender en række teknikker til at nå sine mål., Krakningsproces kan indebære enten at sammenligne gemte adgangskoder mod ord liste eller brug algoritmer til at generere passwords, der matcher

I denne Tutorial, vil vi introducere dig til det fælles password cracking teknikker og modforanstaltninger, du kan gennemføre for at beskytte system mod sådanne angreb.

emner dækket i denne vejledning

  • hvad er adgangskodestyrke?,
  • adgangskode krakning teknikker
  • adgangskode krakning værktøjer
  • adgangskode krakning Counter foranstaltninger
  • Hacking opgave: Hack Nu!

Hvad er adgangskodestyrke?

Pass Passwordord styrke er mål for en adgangskode effektivitet til at modstå pass .ord krakning angreb. Styrken af en adgangskode bestemmes af;

  • længde: antallet af tegn adgangskoden indeholder.
  • kompleksitet: bruger den en kombination af bogstaver, tal og symbol?,
  • uforudsigelighed: er det noget, der let kan gættes af en angriber?

lad os nu se på et praktisk eksempel. Vi bruger tre adgangskoder, nemlig

1. adgangskode

2. adgangskode1

3. #pass .ord1$

i dette eksempel bruger vi indikatoren for Cpanel til adgangskodestyrke, når vi opretter adgangskoder. Billederne nedenfor viser adgangskodestyrkerne for hvert af de ovennævnte adgangskoder.

Bemærk: den anvendte adgangskode er adgangskode styrken er 1, og den er meget svag.,

Bemærk: den anvendte adgangskode er adgangskode1 styrken er 28, og den er stadig svag.

Bemærk: Den adgangskode, der bruges, er #password1$ styrken er 60, og den er stærk.

jo højere styrke nummer, bedre adgangskoden.

lad os antage, at vi er nødt til at gemme vores ovenstående adgangskoder ved hjælp af md5-kryptering. Vi bruger en online md5 hash-generator til at konvertere vores adgangskoder til md5-hashes.,6c9a58b”>

Password MD5 Hash Cpanel Strength Indicator password 5f4dcc3b5aa765d61d8327deb882cf99 1 password1 7c6a180b36896a0a8c02787eeafb0e4c 28 #password1$ 29e08fb7103c327d68327f23d8d9256c 60

We will now use http://www.md5this.com/ to crack the above hashes., Billederne nedenfor viser pass .ord cracking resultater for ovenstående adgangskoder.

Som du kan se fra ovenstående resultater, vi formået at knække den første og anden adgangskoder, der havde lavere styrke numre. Det lykkedes os ikke at knække den tredje adgangskode, som var længere, kompleks og uforudsigelig. Det havde et højere styrketal.,

adgangskodekrakningsteknikker

Der er en række teknikker, der kan bruges til at knække adgangskoder. Vi vil beskrive de mest almindeligt anvendte nedenfor;

  • ordbogsangreb– denne metode indebærer brug af en ordliste til at sammenligne med brugeradgangskoder.
  • Brute force attack– denne metode ligner ordbogsangrebet. Brute force-angreb bruger algoritmer, der kombinerer alfanumeriske tegn og symboler for at komme med adgangskoder til angrebet. For eksempel kan en adgangskode med værdien “adgangskode” også prøves som p@$$wordord ved hjælp af brute force-angrebet.,Rainbo.table attack– denne metode bruger forudberegnede hashes. Lad os antage, at vi har en database, der gemmer adgangskoder som md5 hashes. Vi kan oprette en anden database, der har md5-hashes med almindeligt anvendte adgangskoder. Vi kan derefter sammenligne den adgangskodehash, vi har, med de gemte hashes i databasen. Hvis en kamp er fundet, så har vi adgangskoden.
  • gæt-som navnet antyder, involverer denne metode gætte. Adgangskoder såsom Q .erty, pass .ord, admin, etc. bruges eller indstilles som standardadgangskoder., Hvis de ikke er blevet ændret, eller hvis brugeren er uforsigtig, når man vælger adgangskoder, kan de let kompromitteres.Spidering-de fleste organisationer bruger adgangskoder, der indeholder virksomhedsoplysninger. Disse oplysninger kan findes på virksomhedens websebsteder, sociale medier som facebook, t .itter osv. Spidering indsamler oplysninger fra disse kilder for at komme med ordlister. Ordlisten bruges derefter til at udføre ordbog og brute force-angreb.,

Spidering sample dictionary attack worordlist

Pass .ord cracking tool

Dette er soft .areprogrammer, der bruges til at knække brugeradgangskoder. Vi har allerede set på et lignende værktøj i ovenstående eksempel på adgangskodestyrker. Hjemmesiden www.md5this.com bruger en regnbue tabel til at knække adgangskoder. Vi vil nu se på nogle af de almindeligt anvendte værktøjer

John the Ripper

John the Ripper bruger kommandoprompten til at knække adgangskoder. Dette gør det velegnet til avancerede brugere, der er komfortable med at arbejde med kommandoer. Det bruger til at ordliste til at knække adgangskoder., Programmet er gratis, men ordlisten skal købes. Det har gratis alternative ordlister, som du kan bruge. Besøg produkt websiteebstedet https://www.openwall.com/john/ for mere information og hvordan du bruger det.

Kain & Abel

Kain & Abel kører på windows. Det bruges til at gendanne adgangskoder til brugerkonti, gendannelse af Microsoft Access-adgangskoder; netværk sniffing osv. I modsætning til John the Ripper bruger Cain & Abel en grafisk brugergrænseflade., Det er meget almindeligt blandt nybegyndere og script kiddies på grund af dets brugervenlighed. Besøg produkt websiteebstedet https://www.softpedia.com/get/Security/Decrypting-Decoding/Cain-and-Abel.shtml for mere information og hvordan du bruger det. Ophcrack

Ophcrack er en cross-platform passwordindo .s pass .ord cracker, der bruger regnbue tabeller til at knække adgangskoder. Det kører på Windowsindo .s, Linu.og Mac OS. Det har også et modul til brute force angreb blandt andre funktioner. Besøg produkt websiteebstedet https://ophcrack.sourceforge.io/ for mere information og hvordan du bruger det.,

Password Cracking modforanstaltninger

  • En organisation kan bruge følgende metoder til at reducere chancerne for adgangskoder været revnet
  • Undgå korte og let predicable adgangskoder
  • Undgå at bruge adgangskoder med forudsigelige mønstre såsom 11552266.
  • adgangskoder, der er gemt i databasen, skal altid krypteres. For MD5-krypteringer er det bedre at salte adgangskoden hashes, før de opbevares. Saltning indebærer at tilføje noget ord til den angivne adgangskode, før du opretter hash.,de fleste registreringssystemer har adgangskodestyrkeindikatorer, organisationer skal vedtage politikker, der favoriserer høje adgangskodestyrkenumre.

Hacking aktivitet: Hack Nu!

i dette praktiske scenario vil vi knække Windowsindo .s-konto med en simpel adgangskode. Windowsindo .s bruger NTLM hashes til at kryptere adgangskoder. Vi vil bruge NTLM cracker-værktøjet i Cain og Abel til at gøre det.,

Kain og Abel cracker kan bruges til at knække passwords ved hjælp;

  • Dictionary attack
  • Brute force
  • Kryptoanalyse

Vi vil bruge ordbogen angreb i dette eksempel. Du bliver nødt til at do .nloade ordlisten ordbogsangreb her 10k-mest almindelige.zip

Til denne demonstration, vi har oprettet en konto kaldet Konti med password qwerty på Windows 7.,

Password cracking skridt

  • Åbn Kain og Abel, du vil få følgende primære skærm

  • sørg for, at cracker-fanebladet er valgt, som vist ovenfor
  • Klik på knappen Tilføj på værktøjslinjen.,

  • De følgende dialogboks vises vinduet

  • De lokale bruger kontoer vil blive vist som følger. Bemærk de viste resultater vil være af brugerkonti på din lokale maskine.

  • Højreklik på den konto, du vil knække. Til denne tutorial bruger vi konti som brugerkonto.,

  • Den følgende skærm vil vises

  • Højre klik på den ordbog punkt, og vælg Tilføj til liste-menuen som vist ovenfor
  • gå til 10k mest almindelige.txt-fil, som du lige har downloadet

  • Klik på knappen start
  • Hvis brugeren har anvendt en simpel adgangskode, som qwerty, så du bør være i stand til at få følgende resultater.,

  • Bemærk: den tid, det tager at knække adgangskoden afhænger af password kræfter, kompleksitet og behandling på din maskine.
  • hvis adgangskoden ikke er revnet ved hjælp af et ordbogsangreb, kan du prøve brute force-eller kryptoanalyseangreb.

resum.

  • pass .ord cracking er kunsten at gendanne gemte eller transmitterede adgangskoder.
  • adgangskodestyrke bestemmes af længden, kompleksiteten og uforudsigeligheden af en adgangskodeværdi.,
  • fælles adgangskode teknikker omfatter ordbog angreb, brute force, regnbue tabeller, spidering og revner.
  • Adgangskodekrakningsværktøjer forenkler processen med at knække adgangskoder.