Wat is wachtwoord kraken?

het kraken van wachtwoorden is het proces waarbij ongeautoriseerde toegang tot beperkte systemen wordt verkregen met behulp van veelgebruikte wachtwoorden of algoritmen die wachtwoorden raden. Met andere woorden, het is een kunst van het verkrijgen van het juiste wachtwoord dat toegang geeft tot een systeem beschermd door een authenticatie methode.

wachtwoord kraken maakt gebruik van een aantal technieken om zijn doelen te bereiken., Het kraakproces kan bestaan uit het vergelijken van opgeslagen wachtwoorden met woordenlijst of het gebruik van algoritmen om wachtwoorden te genereren die overeenkomen met

in deze handleiding zullen we u kennis laten maken met de gangbare wachtwoordkraaktechnieken en de tegenmaatregelen die u kunt implementeren om systemen tegen dergelijke aanvallen te beschermen.

onderwerpen behandeld in deze tutorial

  • Wat is wachtwoord sterkte?,
  • Password cracking techniques
  • Password Cracking Tools
  • Password Cracking Counter Measures
  • Hacking Assignment: Hack Now!

Wat is wachtwoordsterkte?

Password strength is de maat voor de efficiëntie van een wachtwoord om aanvallen van wachtwoordscheuren te weerstaan. De sterkte van een wachtwoord wordt bepaald door;

  • lengte: het aantal tekens dat het wachtwoord bevat.
  • complexiteit: gebruikt het een combinatie van letters, cijfers en symbolen?,
  • onvoorspelbaarheid: is het iets dat gemakkelijk kan worden geraden door een aanvaller?

laten we nu eens kijken naar een praktisch voorbeeld. We zullen drie wachtwoorden gebruiken, namelijk

1. wachtwoord

2. password1

3. #password1$

in dit voorbeeld zullen we de wachtwoordsterkte-indicator van Cpanel gebruiken bij het maken van wachtwoorden. De afbeeldingen hieronder tonen het wachtwoord sterke punten van elk van de hierboven genoemde wachtwoorden.

opmerking: het gebruikte wachtwoord is Wachtwoord de sterkte is 1, en het is erg zwak.,

opmerking: het gebruikte wachtwoord is password1 de sterkte is 28, en het is nog steeds zwak.

opmerking: het gebruikte wachtwoord is #password1$ de sterkte is 60 en het is sterk.

hoe hoger het sterkte getal, hoe beter het wachtwoord.

laten we aannemen dat we onze bovenstaande wachtwoorden moeten opslaan met MD5-versleuteling. We zullen een online MD5 hash generator gebruiken om onze wachtwoorden om te zetten in MD5 hashes.,6c9a58b”>

Password MD5 Hash Cpanel Strength Indicator password 5f4dcc3b5aa765d61d8327deb882cf99 1 password1 7c6a180b36896a0a8c02787eeafb0e4c 28 #password1$ 29e08fb7103c327d68327f23d8d9256c 60

We will now use http://www.md5this.com/ to crack the above hashes., De afbeeldingen hieronder tonen de resultaten van het kraken van wachtwoorden voor de bovenstaande wachtwoorden.

zoals u kunt zien uit de bovenstaande resultaten, zijn we erin geslaagd om de eerste en tweede wachtwoorden met een lagere sterkte nummers te kraken. We zijn er niet in geslaagd om het derde wachtwoord te kraken dat langer, complex en onvoorspelbaar was. Het had een hogere sterkte nummer.,

Wachtwoordkraaktechnieken

Er zijn een aantal technieken die kunnen worden gebruikt om wachtwoorden te kraken. We zullen de meest gebruikte hieronder beschrijven;

  • Dictionary attack-deze methode omvat het gebruik van een woordenlijst om te vergelijken met gebruikerswachtwoorden.
  • Brute force attack-deze methode is vergelijkbaar met de dictionary attack. Brute force attacks gebruik algoritmen die alfanumerieke tekens en symbolen te combineren om te komen met wachtwoorden voor de aanval. Bijvoorbeeld, een wachtwoord van de waarde “password” kan ook worden geprobeerd als p@$$word met behulp van de brute force attack.,
  • Rainbow table attack-deze methode gebruikt vooraf berekende hashes. Laten we aannemen dat we een database hebben die wachtwoorden opslaat als MD5 hashes. We kunnen een andere database maken met MD5 hashes van veelgebruikte wachtwoorden. We kunnen dan de wachtwoordhash die we hebben vergelijken met de opgeslagen hashes in de database. Als er een overeenkomst is gevonden, dan hebben we het wachtwoord.
  • raden-zoals de naam al doet vermoeden, houdt deze methode raden in. Wachtwoorden zoals qwerty, wachtwoord, admin, enz. worden vaak gebruikt of ingesteld als standaard wachtwoorden., Als ze niet zijn gewijzigd of als de gebruiker onzorgvuldig is bij het selecteren van wachtwoorden, dan kunnen ze gemakkelijk worden gecompromitteerd.
  • Spidering-de meeste organisaties gebruiken wachtwoorden die bedrijfsinformatie bevatten. Deze informatie is te vinden op websites van bedrijven, sociale media zoals facebook, twitter, enz. Spidering verzamelt informatie uit deze bronnen om met woordenlijsten te komen. De woordenlijst wordt vervolgens gebruikt om woordenboek en brute kracht aanvallen uit te voeren.,

Spidering sample dictionary attack wordlist

Password cracking tool

Dit zijn softwareprogramma ‘ s die worden gebruikt om gebruikerswachtwoorden te kraken. We hebben al gekeken naar een soortgelijke tool in het bovenstaande voorbeeld over wachtwoord sterke punten. De website www.md5this.com gebruikt een regenboogtafel om wachtwoorden te kraken. We zullen nu kijken naar enkele van de veelgebruikte tools

John the Ripper

John the Ripper gebruikt de opdrachtprompt om wachtwoorden te kraken. Dit maakt het geschikt voor gevorderde gebruikers die comfortabel werken met commando ‘ s. Het gebruikt om woordenlijst te kraken wachtwoorden., Het programma is gratis, maar de Woordenlijst moet worden gekocht. Het heeft gratis alternatieve woordenlijsten die u kunt gebruiken. Bezoek de productwebsite https://www.openwall.com/john/ voor meer informatie en hoe het te gebruiken.

Cain & Abel

Cain & Abel draait op windows. Het wordt gebruikt om wachtwoorden te herstellen voor gebruikersaccounts, herstel van Microsoft Access wachtwoorden; netwerk snuiven, enz. In tegenstelling tot John the Ripper, gebruikt Cain & Abel een grafische gebruikersinterface., Het is heel gebruikelijk bij beginners en script kiddies vanwege de eenvoud van gebruik. Bezoek de productwebsite https://www.softpedia.com/get/Security/Decrypting-Decoding/Cain-and-Abel.shtml voor meer informatie en hoe het te gebruiken.

Ophcrack

Ophcrack is een cross-platform Windows-wachtwoordkraker die rainbow tables gebruikt om wachtwoorden te kraken. Het draait op Windows, Linux en Mac OS. Het heeft ook een module voor brute kracht aanvallen onder andere functies. Bezoek de productwebsite https://ophcrack.sourceforge.io/ voor meer informatie en hoe het te gebruiken.,

Password Cracking Counter Measures

  • Een organisatie kan de volgende methoden gebruiken om de kans te verkleinen dat de wachtwoorden gekraakt zijn
  • vermijd korte en gemakkelijk voorspelbare wachtwoorden
  • vermijd het gebruik van wachtwoorden met voorspelbare patronen zoals 11552266.
  • wachtwoorden opgeslagen in de database moeten altijd versleuteld zijn. Voor MD5-versleutelingen is het beter om de wachtwoordhashes te zout voordat je ze opslaat. Zouten gaat om het toevoegen van een woord aan het opgegeven wachtwoord voor het maken van de hash.,
  • de meeste registratiesystemen hebben wachtwoordsterkte-indicatoren, organisaties moeten beleid hanteren dat hoge wachtwoordsterkte-nummers bevordert.

Hacking activiteit: Hack nu!

In dit praktische scenario, gaan we windows account kraken met een eenvoudig wachtwoord. Windows gebruikt NTLM hashes om wachtwoorden te versleutelen. We zullen de NTLM cracker tool in Cain en Abel gebruiken om dat te doen.,

Cain en Abel cracker kunnen worden gebruikt om wachtwoorden te kraken met behulp van;

  • Dictionary attack
  • Brute force
  • Cryptanalysis

We zullen de dictionary attack In dit voorbeeld gebruiken. U moet de woordenboek aanval wordlist hier downloaden 10k-meest-voorkomende.zip

voor deze demonstratie hebben we een account aangemaakt met de naam Accounts met het wachtwoord qwerty op Windows 7.,

Password cracking steps

  • Open Cain en Abel, u krijgt het volgende hoofdscherm

  • zorg ervoor dat het tabblad Cracker is geselecteerd zoals hierboven getoond
  • klik op de knop Toevoegen op de werkbalk.,

  • het volgende dialoogvenster verschijnt

    • de lokale gebruikersaccounts worden als volgt weergegeven. Merk op dat de getoonde resultaten van de gebruikersaccounts op uw lokale machine zijn.

    • Klik met de rechtermuisknop op het account dat u wilt kraken. Voor deze tutorial gebruiken we Accounts als gebruikersaccount.,

    • Het volgende scherm verschijnt

    • klik Rechts op het woordenboek sectie en selecteer Toevoegen aan het lijst menu, zoals hierboven weergegeven
    • Blader naar de 10k meest voorkomende.txt-bestand dat u zojuist hebt gedownload

    • klik op startknop
    • als de gebruiker een eenvoudig wachtwoord zoals qwerty heeft gebruikt, dan kunt u de volgende resultaten krijgen.,

    • Opmerking: De tijd die nodig is om het wachtwoord te kraken hangt af van de wachtwoordsterkte, complexiteit en verwerkingskracht van uw machine.
    • als het wachtwoord niet is gekraakt met een woordenboekaanval, kunt u brute force-of cryptanalysis-aanvallen proberen.

    samenvatting

    • wachtwoord kraken is de kunst van het herstellen van opgeslagen of verzonden wachtwoorden.
    • wachtwoordsterkte wordt bepaald door de lengte, complexiteit en onvoorspelbaarheid van een wachtwoordwaarde.,
    • gemeenschappelijke wachtwoordtechnieken zijn woordenboekaanvallen, brute kracht, regenboogtabellen, spideren en kraken.
    • Password cracking tools vereenvoudigen het proces van het kraken van wachtwoorden.