Che cosa è la password di cracking?
Password cracking è il processo di tentativo di ottenere l’accesso non autorizzato a sistemi con restrizioni utilizzando password comuni o algoritmi che indovinano le password. In altre parole, è un’arte di ottenere la password corretta che dà accesso a un sistema protetto da un metodo di autenticazione.
Password cracking impiega una serie di tecniche per raggiungere i suoi obiettivi., Il processo di cracking può comportare il confronto delle password memorizzate con l’elenco di parole o l’uso di algoritmi per generare password che corrispondono a
In questo tutorial, ti presenteremo le tecniche comuni di cracking delle password e le contromisure che puoi implementare per proteggere i sistemi da tali attacchi.
Argomenti trattati in questo tutorial
- Qual è la forza della password?,
- Tecniche di cracking password
- Strumenti di cracking password
- Contromisure di cracking password
- Assegnazione di hacking: Hack ora!
Qual è la forza della password?
La forza della password è la misura dell’efficienza di una password per resistere agli attacchi di cracking della password. La forza di una password è determinata da;
- Lunghezza: il numero di caratteri che la password contiene.
- Complessità: utilizza una combinazione di lettere, numeri e simboli?,
- Imprevedibilità: è qualcosa che può essere indovinato facilmente da un attaccante?
Diamo ora un’occhiata a un esempio pratico. Useremo tre password e cioè
1. password
2. password1
3. # password1
Per questo esempio, useremo l’indicatore di intensità della password di Cpanel durante la creazione di password. Le immagini qui sotto mostrano i punti di forza delle password di ciascuna delle password sopra elencate.
Nota: la password utilizzata è password la forza è 1, ed è molto debole.,
Nota: la password utilizzata è password1 la forza è 28, ed è ancora debole.
Nota: La password utilizzata è #password1-la forza è 60 ed è forte.
Maggiore è il numero di forza, meglio la password.
Supponiamo che dobbiamo memorizzare le nostre password di cui sopra utilizzando la crittografia md5. Useremo un generatore di hash md5 online per convertire le nostre password in hash md5.,6c9a58b”>
We will now use http://www.md5this.com/ to crack the above hashes., Le immagini qui sotto mostrano i risultati di cracking password per le password di cui sopra.
Come si può vedere dai risultati di cui sopra, siamo riusciti a rompere la prima e la seconda password che ha avuto una minore forza dei numeri. Non siamo riusciti a decifrare la terza password che era più lunga, complessa e imprevedibile. Aveva un numero di forza più elevato.,
Tecniche di cracking delle password
Esistono numerose tecniche che possono essere utilizzate per decifrare le password. Descriveremo quelli più comunemente usati di seguito;
- Attacco dizionario– Questo metodo prevede l’uso di un elenco di parole per confrontare le password degli utenti.
- Attacco di forza bruta-Questo metodo è simile all’attacco dizionario. Gli attacchi di forza bruta utilizzano algoritmi che combinano caratteri alfanumerici e simboli per creare password per l’attacco. Ad esempio, una password del valore “password” può anche essere provata come p@word word usando l’attacco di forza bruta.,
- Rainbow table attack-Questo metodo utilizza hash pre-calcolati. Supponiamo di avere un database che memorizza le password come hash md5. Possiamo creare un altro database con hash md5 di password comunemente utilizzate. Possiamo quindi confrontare l’hash della password che abbiamo con gli hash memorizzati nel database. Se viene trovata una corrispondenza, allora abbiamo la password.
- Guess-Come suggerisce il nome, questo metodo comporta indovinare. Password come qwerty, password, admin, ecc. sono comunemente usati o impostati come password predefinite., Se non sono stati modificati o se l’utente è incurante quando si selezionano le password, possono essere facilmente compromessi.
- Spidering – La maggior parte delle organizzazioni utilizza password che contengono informazioni aziendali. Queste informazioni possono essere trovate su siti web aziendali, social media come facebook, Twitter, ecc. Spidering raccoglie informazioni da queste fonti a venire con elenchi di parole. L’elenco di parole viene quindi utilizzato per eseguire attacchi di dizionario e forza bruta.,
Spidering esempio dizionario attacco wordlist
Password cracking tool
Questi sono programmi software che vengono utilizzati per decifrare le password degli utenti. Abbiamo già esaminato uno strumento simile nell’esempio precedente sui punti di forza della password. Il sito www.md5this.com utilizza una tabella arcobaleno per decifrare le password. Vedremo ora alcuni degli strumenti comunemente usati
John the Ripper
John the Ripper utilizza il prompt dei comandi per decifrare le password. Questo lo rende adatto per gli utenti avanzati che sono comodi lavorare con i comandi. Esso utilizza per wordlist per decifrare le password., Il programma è gratuito, ma la lista di parole deve essere acquistata. Ha liste di parole alternative gratuite che è possibile utilizzare. Visita il sito web del prodotto https://www.openwall.com/john/ per ulteriori informazioni e come usarlo.
Cain& Abel
Cain& Abel funziona su Windows. Viene utilizzato per recuperare le password per gli account utente, il recupero delle password di Microsoft Access; sniffing di rete, ecc. A differenza di John lo Squartatore, Cain& Abel utilizza un’interfaccia utente grafica., E ‘ molto comune tra i neofiti e script kiddies a causa della sua semplicità di utilizzo. Visita il sito web del prodottohttps://www.softpedia.com/get/Security/Decrypting-Decoding/Cain-and-Abel.shtml per ulteriori informazioni e come usarlo.
Ophcrack
Ophcrack è un cracker di password di Windows multipiattaforma che utilizza le tabelle arcobaleno per decifrare le password. Funziona su Windows, Linux e Mac OS. Ha anche un modulo per gli attacchi di forza bruta tra le altre caratteristiche. Visita il sito web del prodotto https://ophcrack.sourceforge.io/ per ulteriori informazioni e come usarlo.,
Password Cracking Counter Measures
- Un’organizzazione può utilizzare i seguenti metodi per ridurre le probabilità che le password siano state incrinate
- Evitare password brevi e facilmente prevedibili
- Evitare di utilizzare password con schemi prevedibili come 11552266.
- Le password memorizzate nel database devono sempre essere crittografate. Per le crittografie md5, è meglio salare gli hash delle password prima di memorizzarli. La salatura comporta l’aggiunta di alcune parole alla password fornita prima di creare l’hash.,
- La maggior parte dei sistemi di registrazione hanno indicatori di forza password, le organizzazioni devono adottare politiche che favoriscono numeri di forza password elevati.
Attività di hacking: Hack ora!
In questo scenario pratico, ci accingiamo a rompere conto di Windows con una semplice password. Windows utilizza gli hash NTLM per crittografare le password. Useremo lo strumento NTLM cracker in Caino e Abele per farlo.,
Cain e Abel cracker possono essere utilizzati per decifrare le password utilizzando;
- Attacco dizionario
- Forza bruta
- Crittanalisi
Useremo l’attacco dizionario in questo esempio. Sarà necessario scaricare il dizionario attacco wordlist qui 10k-Più-comune.zip
Per questa dimostrazione, abbiamo creato un account chiamato Account con la password qwerty su Windows 7.,
Password cracking passi
- Aprire Caino e Abele, si otterrà la seguente schermata principale
- assicurarsi che il cracker scheda è selezionata, come mostrato sopra
- fare Clic sul pulsante Aggiungi nella barra degli strumenti.,
- La seguente finestra di dialogo apparirà la finestra
- Il locale di account utente verrà visualizzato come segue. Nota i risultati mostrati saranno degli account utente sul computer locale.
- Fare clic destro sul conto che si desidera crack. Per questo tutorial, useremo gli account come account utente.,
- apparirà La seguente schermata
- fare clic Destro sul dizionario sezione e selezionare Aggiungi alla lista dei menu, come mostrato sopra
- Sfoglia per i 10k più comuni.file txt che hai appena scaricato
- Fai clic sul pulsante start
- Se l’utente ha utilizzato una password semplice come qwerty, dovresti essere in grado di ottenere i seguenti risultati.,
- Nota: il tempo impiegato per decifrare la password dipende dalla forza della password, dalla complessità e dalla potenza di elaborazione della macchina.
- Se la password non viene incrinata usando un attacco dizionario, puoi provare attacchi di forza bruta o crittanalisi.
Sommario
- Password cracking è l’arte di recuperare le password memorizzate o trasmesse.
- La forza della password è determinata dalla lunghezza, dalla complessità e dall’imprevedibilità di un valore della password.,
- Tecniche di password comuni includono attacchi dizionario, forza bruta, tabelle arcobaleno, spidering e cracking.
- Gli strumenti di cracking delle password semplificano il processo di cracking delle password.