Vad är lösenord sprickbildning?
password cracking är processen att försöka få obehörig åtkomst till begränsade system med vanliga lösenord eller algoritmer som gissar lösenord. Med andra ord, det är en konst att få rätt lösenord som ger tillgång till ett system som skyddas av en autentiseringsmetod.
lösenord sprickbildning använder ett antal tekniker för att uppnå sina mål., Sprickbildning processen kan innebära antingen jämföra lagrade lösenord mot ordlista eller använda algoritmer för att generera lösenord som matchar
i den här guiden kommer vi att introducera dig till de vanliga lösenord sprickbildning tekniker och motåtgärder du kan genomföra för att skydda system mot sådana attacker.
ämnen som omfattas av denna handledning
- vad är lösenordsstyrka?,
- lösenord sprickbildning tekniker
- lösenord sprickbildning verktyg
- lösenord sprickbildning räknare åtgärder
- Hacking uppdrag: hacka nu!
vad är lösenordsstyrka?
lösenordsstyrka är måttet på ett lösenords effektivitet för att motstå lösenord sprickbildning attacker. Längden på ett lösenord bestäms av;
- längd: antalet tecken som lösenordet innehåller.
- komplexitet: använder den en kombination av bokstäver, siffror och symbol?,
- oförutsägbarhet: är det något som lätt kan gissas av en angripare?
låt oss nu titta på ett praktiskt exempel. Vi kommer att använda tre lösenord nämligen
1. lösenord
2. password1
3. # password1$
i det här exemplet använder vi indikatorn för lösenordsstyrka för cPanel när du skapar lösenord. Bilderna nedan visar lösenordsstyrkorna för var och en av de ovan angivna lösenorden.
Obs: lösenordet som används är lösenord styrkan är 1, och den är väldigt svag.,
Obs: lösenordet som används är password1 styrkan är 28, och den är fortfarande svag.
Obs: lösenordet som används är #password1$ styrkan är 60 och den är stark.
ju högre styrka nummer, bättre lösenord.
låt oss anta att vi måste lagra våra ovanstående lösenord med md5-kryptering. Vi kommer att använda en online md5 hash generator för att konvertera våra lösenord till md5 hashar.,6c9a58b”>
We will now use http://www.md5this.com/ to crack the above hashes., Bilderna nedan visar lösenord sprickbildning resultat för ovanstående lösenord.
som du kan se från ovanstående resultat lyckades vi knäcka de första och andra lösenorden som hade lägre styrka. Vi lyckades inte knäcka det tredje lösenordet som var längre, komplext och oförutsägbart. Det hade ett högre styrka nummer.,
lösenord sprickbildning tekniker
det finns ett antal tekniker som kan användas för att knäcka lösenord. Vi kommer att beskriva de vanligaste nedan;
- Dictionary attack– denna metod innebär användning av en ordlista för att jämföra mot användarlösenord.
- Brute force attack– denna metod liknar dictionary attack. Brute force attacker använder algoritmer som kombinerar alfa-numeriska tecken och symboler för att komma med lösenord för attacken. Till exempel kan ett lösenord av värdet ”lösenord” också försökas som p@$$word med brute force attack.,
- Rainbow table attack– den här metoden använder förberäknade hashar. Låt oss anta att vi har en databas som lagrar lösenord som md5 hashar. Vi kan skapa en annan databas som har md5-hashar av vanliga lösenord. Vi kan sedan jämföra lösenords hash vi har mot de lagrade hasharna i databasen. Om en match hittas har vi lösenordet.
- gissa– som namnet antyder innebär den här metoden att gissa. Lösenord som qwerty, lösenord, admin, etc. används ofta eller anges som standardlösenord., Om de inte har ändrats eller om användaren är slarvig när du väljer lösenord, kan de lätt äventyras.
- Spidering– de flesta organisationer använder lösenord som innehåller företagsinformation. Denna information kan hittas på företagets webbplatser, sociala medier som facebook, twitter, etc. Spidering samlar information från dessa källor för att komma med ordlistor. Ordet listan används sedan för att utföra ordbok och brute force attacker.,
Spidering sample dictionary attack wordlist
Password cracking tool
det här är program som används för att knäcka användarlösenord. Vi tittade redan på ett liknande verktyg i ovanstående exempel på lösenordsstyrkor. Webbplatsen www.md5this.com använder ett regnbågsbord för att knäcka lösenord. Vi kommer nu att titta på några av de vanliga verktygen
John the Ripper
John the Ripper använder kommandotolken för att knäcka lösenord. Detta gör den lämplig för avancerade användare som är bekväma att arbeta med kommandon. Den använder för att ordlista för att knäcka lösenord., Programmet är gratis, men ordlistan måste köpas. Den har gratis alternativa ordlistor som du kan använda. Besök produktwebbplatsen https://www.openwall.com/john/ för mer information och hur du använder den.
Cain& Abel
Cain& Abel körs på windows. Det används för att återställa lösenord för användarkonton, återvinning av Microsoft Access lösenord; nätverk sniffa, etc. Till skillnad från John the Ripper använder Cain & Abel ett grafiskt användargränssnitt., Det är mycket vanligt bland nybörjare och manus kiddies på grund av dess enkelhet i användning. Besök produktwebbplatsen https://www.softpedia.com/get/Security/Decrypting-Decoding/Cain-and-Abel.shtml för mer information och hur du använder den.
Ophcrack
ophcrack är en plattformsoberoende Windows password cracker som använder rainbow tabeller för att knäcka lösenord. Den körs på Windows, Linux och Mac OS. Den har också en modul för brute force attacker bland andra funktioner. Besök produktwebbplatsen https://ophcrack.sourceforge.io/ för mer information och hur du använder den.,
Password Cracking Counter Measures
- en organisation kan använda följande metoder för att minska risken för att lösenorden har knäckts
- Undvik korta och lätt förutsägbara lösenord
- Undvik att använda lösenord med förutsägbara mönster som 11552266.
- lösenord som lagras i databasen måste alltid krypteras. För md5-krypteringar är det bättre att salta lösenordshasharna innan de lagras. Saltning innebär att lägga till ett ord till det angivna lösenordet innan du skapar hash.,
- de flesta registreringssystem har lösenordsstyrkeindikatorer, organisationer måste anta policyer som gynnar hög lösenordsstyrka nummer.
Hacking aktivitet: hacka nu!
i detta praktiska scenario kommer vi att knäcka Windows-konto med ett enkelt lösenord. Windows använder NTLM-hashar för att kryptera lösenord. Vi kommer att använda NTLM cracker-verktyget i Cain och Abel för att göra det.,
Kain och Abel cracker kan användas för att knäcka lösenord med;
- Dictionary attack
- Brute force
- Cryptanalysis
Vi kommer att använda dictionary attack i detta exempel. Du kommer att behöva ladda ner dictionary attack wordlist här 10k-vanligast.zip
för denna demonstration har vi skapat ett konto som heter konton med lösenordet qwerty på Windows 7.,
steg för att knäcka lösenordet
- öppna Cain och Abel, du får följande huvudskärm
- se till att fliken Cracker är markerad som visas ovan
- Klicka på knappen Lägg till i verktygsfältet.,
- följande dialogfönster visas
- de lokala användarkontona visas enligt följande. Obs! de resultat som visas kommer att vara användarkonton på din lokala dator.
- högerklicka på det konto du vill knäcka. För denna handledning kommer vi att använda konton som användarkonto.,
- följande skärm visas
- höger klicka på ordlistan och välj Lägg till i listmenyn som visas ovan
- bläddra till 10K vanligaste.txt-fil som du just laddat ner
- Klicka på startknappen
- Om användaren använde ett enkelt lösenord som qwerty, så ska du kunna få följande resultat.,
- Obs! tiden för att knäcka lösenordet beror på maskinens lösenordsstyrka, komplexitet och processorkraft.
- om lösenordet inte är knäckt med hjälp av en ordbok attack, kan du prova brute force eller cryptanalysis attacker.
sammanfattning
- Password cracking är konsten att återställa lagrade eller överförda lösenord.
- lösenordsstyrkan bestäms av längden, komplexiteten och oförutsägbarheten hos ett lösenordsvärde.,
- vanliga lösenord tekniker inkluderar ordbok attacker, brute force, rainbow tabeller, spidering och sprickbildning.
- lösenord sprickbildning verktyg förenkla processen för sprickbildning lösenord.