Як зламати пароль

Зміст:

Anonim

Що таке злом паролів?

Злом паролів - це процес спроби отримати несанкціонований доступ до обмежених систем із використанням загальних паролів або алгоритмів, які вгадують паролі. Іншими словами, це мистецтво отримання правильного пароля, що дає доступ до системи, захищеної методом автентифікації.

Злом паролів використовує ряд методів для досягнення своїх цілей. Процес злому може включати порівняння збережених паролів зі списком слів або використання алгоритмів для генерації відповідних паролів

У цьому посібнику ми познайомимо вас із поширеними методами злому паролів та контрзаходами, які ви можете застосувати для захисту систем від таких атак.

Теми, висвітлені в цьому посібнику

  • Що таке надійність пароля?
  • Методи злому паролів
  • Інструменти для збору паролів
  • Лічильник паролів
  • Хакерське призначення: Рубати зараз!

Що таке надійність пароля?

Надійність пароля - це міра ефективності пароля протистояти атакам злому паролів . Надійність пароля визначається;

  • Довжина : кількість символів, що містить пароль.
  • Складність : чи використовується комбінація літер, цифр і символів?
  • Непередбачуваність : це те, що зловмисник може легко здогадатися?

Давайте зараз розглянемо практичний приклад. Ми будемо використовувати три паролі, а саме

1. пароль

2. пароль1

3. # пароль1 $

У цьому прикладі ми будемо використовувати індикатор надійності пароля Cpanel під час створення паролів. На малюнках нижче показано надійність паролів кожного з вищезазначених паролів.

Примітка : використовуваний пароль - це пароль, міцність дорівнює 1, і він дуже слабкий.

Примітка : використовуваний пароль - пароль1, міцність - 28, але він все ще слабкий.

Примітка : Використовується пароль # password1 $, міцність - 60 і він надійний.

Чим вище число міцності, тим кращий пароль.

Припустимо, що ми повинні зберігати наші вищезазначені паролі, використовуючи шифрування md5. Ми використаємо онлайн-генератор хеш-файлів md5, щоб перетворити наші паролі в хеші md5.

У таблиці нижче показано хеші паролів

Пароль MD5 Хеш Індикатор міцності Cpanel
пароль 5f4dcc3b5aa765d61d8327deb882cf99 1
пароль1 7c6a180b36896a0a8c02787eeafb0e4c 28
# пароль1 $ 29e08fb7103c327d68327f23d8d9256c 60

Тепер ми будемо використовувати http://www.md5this.com/, щоб зламати вищезазначені хеші. На малюнках нижче показані результати злому паролів для вищевказаних паролів.

Як ви можете бачити з наведених вище результатів, нам вдалося зламати перший і другий паролі, які мали менші числа надійності. Нам не вдалося зламати третій пароль, який був довшим, складнішим та непередбачуванішим. Він мав вищу міцність.

Методи злому паролів

Існує ряд методів, за допомогою яких можна зламати паролі . Нижче ми опишемо найбільш часто використовувані;

  • Словникова атака - Цей метод передбачає використання списку слів для порівняння з паролями користувачів.
  • Атака грубої сили - Цей метод схожий на атаку за словником. Атаки грубої сили використовують алгоритми, що поєднують буквено-цифрові символи та символи, щоб придумати паролі для атаки. Наприклад, пароль зі значенням «пароль» також можна спробувати як p @ $$ слово, використовуючи грубу силу.
  • Атака таблиці веселки - Цей метод використовує заздалегідь обчислені хеші. Припустимо, що у нас є база даних, яка зберігає паролі як хеші md5. Ми можемо створити іншу базу даних, яка має хеди md5 часто використовуваних паролів. Потім ми можемо порівняти хеш пароля, який ми маємо, із збереженими хешами в базі даних. Якщо збіг знайдено, тоді ми маємо пароль.
  • Вгадайте - як випливає з назви, цей метод передбачає вгадування. Паролі, такі як qwerty, пароль, адміністратор тощо, зазвичай використовуються або встановлюються як паролі за замовчуванням. Якщо вони не були змінені або якщо користувач необережний при виборі паролів, їх можна легко зламати.
  • Spidering - більшість організацій використовують паролі, що містять інформацію про компанію. Цю інформацію можна знайти на веб-сайтах компаній, у соціальних мережах, таких як facebook, twitter тощо. Spidering збирає інформацію з цих джерел, щоб скласти списки слів. Потім список слів використовується для виконання словникових атак і грубих дій.

Павутинковий зразок словникового нападу на список слів 

1976 smith jones acme built|to|last golfing|chess|soccer  

Інструмент злому паролів


Це програмні програми, які використовуються для злому паролів користувачів . Ми вже розглядали подібний інструмент у наведеному вище прикладі щодо надійності паролів. Веб-сайт www.md5this.com використовує райдужну таблицю для злому паролів. Зараз ми розглянемо деякі загальновживані інструменти


Джон Різник


Джон Різник використовує командний рядок для злому паролів. Це робить його придатним для досвідчених користувачів, яким комфортно працювати з командами. Він використовує список слів для злому паролів. Програма безкоштовна, але список слів потрібно купувати. У ньому є безкоштовні списки альтернативних слів, якими ви можете скористатися. Відвідайте веб-сайт продукту https://www.openwall.com/john/, щоб отримати додаткову інформацію та способи його використання.


Каїн та Авель


Кейн та Авель бігають по вікнах. Застосовується для відновлення паролів для облікових записів користувачів, відновлення паролів Microsoft Access; мережеве нюхання тощо. На відміну від Джона Різника, Кейн та Авель використовує графічний інтерфейс користувача. Це дуже поширене явище серед початківців та дітей-сценаріїв через простоту використання. Відвідайте веб-сайт продукту https://www.softpedia.com/get/Security/Decrypting-Decoding/Cain-and-Abel.shtml, щоб отримати додаткову інформацію та способи його використання.





Офкрак


Ophcrack - це міжплатформний зломщик паролів для Windows, який використовує райдужні таблиці для злому паролів. Він працює на Windows, Linux та Mac OS. Він також має модуль для атак грубої сили серед інших функцій. Відвідайте веб-сайт продукту https://ophcrack.sourceforge.io/, щоб отримати додаткову інформацію та способи його використання.



Лічильник паролів


    

  • Організація може використовувати такі методи, щоб зменшити шанс зламу паролів
    • 

  • Уникайте коротких та легко передбачуваних паролів
    • 

  • Уникайте використання паролів із передбачуваними шаблонами, такими як 11552266.
    • 

  • Паролі, що зберігаються в базі даних, завжди повинні бути зашифровані. Для шифрування md5 краще солити хеші паролів, перш ніж зберігати їх. Соління передбачає додавання слова до наданого пароля перед створенням хешу.
    • 

  • У більшості систем реєстрації є індикатори надійності паролів, організації повинні приймати політику, яка сприяє високим цифрам надійності паролів.
    • 




Діяльність злому: Рубати зараз!


У цьому практичному сценарії ми збираємося зламати обліковий запис Windows за допомогою простого пароля . Windows використовує хеш NTLM для шифрування паролів . Для цього ми використаємо інструмент злому NTLM у Каїна та Авеля.


Зломщик Cain і Abel можна використовувати для злому паролів за допомогою;


    

  • Словникова атака
    • 

  • Груба сила
    • 

  • Криптоаналіз
    • 



У цьому прикладі ми використаємо словникову атаку. Вам потрібно буде завантажити список слів для атаки словників тут 10k-Most-Common.zip


Для цієї демонстрації ми створили обліковий запис під назвою Облікові записи з паролем qwerty в Windows 7.



Етапи злому пароля


    

  • Відкривши Каїна та Авеля , ви отримаєте наступний головний екран
    • 



    

  • Переконайтеся, що вкладка зломщика вибрана, як показано вище
    • 

  • Натисніть кнопку Додати на панелі інструментів.
    • 



    

  • З'явиться наступне діалогове вікно
    • 



    

  • Місцеві облікові записи користувачів відображатимуться наступним чином. Зверніть увагу, що показані результати будуть з облікових записів користувачів на вашому локальному комп'ютері.
    • 



    

  • Клацніть правою кнопкою миші на обліковому записі, який ви хочете зламати. У цьому підручнику ми використовуватимемо Облікові записи як обліковий запис користувача.
    • 



    

  • З'явиться наступний екран
    • 



    

  • Клацніть правою кнопкою миші на розділі словника та виберіть меню Додати до списку, як показано вище
    • 

  • Перейдіть до 10-ти найпоширеніших файлів.txt, які ви щойно завантажили
    • 



    

  • Клацніть на кнопку Пуск
    • 

  • Якщо користувач використовував простий пароль, такий як qwerty, ви мали б змогу отримати такі результати.
    • 



    

  • Примітка : час, необхідний для злому пароля, залежить від надійності пароля, його складності та потужності обробки.
    • 

  • Якщо пароль не зламаний за допомогою словникової атаки, ви можете спробувати грубу силу або атаки криптоаналізу.
    • 




Резюме


    

  • Злом паролів - це мистецтво відновлення збережених або переданих паролів.
    • 

  • Надійність пароля визначається довжиною, складністю та непередбачуваністю значення пароля.
    • 

  • До загальних методів введення паролів належать атаки за словником, груба сила, таблиці веселки, павутиння та злому.
    • 

  • Інструменти злому паролів спрощують процес злому паролів.
    •