Kako razbiti lozinku

Sadržaj:

Anonim

Što je lomljenje lozinke?

Probijanje lozinki je postupak pokušaja neovlaštenog pristupa ograničenim sustavima pomoću uobičajenih lozinki ili algoritama koji pogađaju lozinke. Drugim riječima, to je umijeće dobivanja ispravne lozinke koja daje pristup sustavu zaštićenom metodom provjere autentičnosti.

Probijanje lozinki koristi brojne tehnike za postizanje svojih ciljeva. Proces probijanja može uključivati ​​ili usporedbu pohranjenih lozinki s popisom riječi ili korištenje algoritama za generiranje lozinki koje se podudaraju

U ovom vodiču upoznat ćemo vas s uobičajenim tehnikama probijanja lozinki i protumjerama koje možete primijeniti za zaštitu sustava od takvih napada.

Teme obrađene u ovom vodiču

  • Što je snaga lozinke?
  • Tehnike probijanja lozinki
  • Alati za lomljenje lozinke
  • Protumjere za probijanje lozinki
  • Zadatak hakiranja: Hakirajte odmah!

Što je snaga lozinke?

Snaga lozinke mjerilo je učinkovitosti lozinke za odbijanje napada na probijanje lozinki . Snaga lozinke određuje se;

  • Duljina : broj znakova koje lozinka sadrži.
  • Složenost : koristi li kombinaciju slova, brojeva i simbola?
  • Nepredvidivost : je li to nešto što napadač može lako pogoditi?

Pogledajmo sada praktični primjer. Koristit ćemo naime tri lozinke

1. lozinka

2. lozinka1

3. # lozinka1 $

U ovom ćemo primjeru upotrijebiti indikator snage lozinke Cpanela prilikom izrade lozinki. Slike u nastavku prikazuju snagu lozinke svake od gore navedenih lozinki.

Napomena : upotrijebljena lozinka je lozinka, jačina je 1 i vrlo je slaba.

Napomena : upotrijebljena lozinka je password1, snaga je 28 i još uvijek je slaba.

Napomena : Upotrijebljena lozinka je # password1 $, snaga je 60 i ona je jaka.

Što je broj snage veći, lozinka je bolja.

Pretpostavimo da gore navedene lozinke moramo pohraniti pomoću md5 enkripcije. Upotrijebit ćemo mrežni generator md5 raspršivača za pretvorbu naših lozinki u md5 raspršivače.

Tablica u nastavku prikazuje raspršene lozinke

Zaporka MD5 Hash Pokazatelj čvrstoće Cpanel
zaporka 5f4dcc3b5aa765d61d8327deb882cf99 1
lozinka1 7c6a180b36896a0a8c02787eeafb0e4c 28
# lozinka1 $ 29e08fb7103c327d68327f23d8d9256c 60

Sada ćemo upotrijebiti http://www.md5this.com/ za razbijanje gornjih hashova. Sljedeće slike prikazuju rezultate probijanja lozinki za gore navedene lozinke.

Kao što možete vidjeti iz gornjih rezultata, uspjeli smo razbiti prvu i drugu lozinku koje su imale niže brojeve snage. Nismo uspjeli razbiti treću lozinku koja je bila duža, složena i nepredvidljiva. Imao je veći broj čvrstoće.

Tehnike probijanja lozinki

Postoji niz tehnika koje se mogu koristiti za razbijanje lozinki . U nastavku ćemo opisati najčešće korištene;

  • Rječnikov napad - Ova metoda uključuje upotrebu popisa riječi za usporedbu s korisničkim lozinkama.
  • Napad grubom silom - Ova metoda slična je napadu iz rječnika. Napadi grubom silom koriste algoritme koji kombiniraju alfanumeričke znakove i simbole kako bi pronašli lozinke za napad. Na primjer, lozinka vrijednosti "lozinka" također se može isprobati kao p @ $$ riječ koristeći grubu silu.
  • Napad Rainbow table - Ova metoda koristi unaprijed izračunate hashove. Pretpostavimo da imamo bazu podataka koja lozinke pohranjuje kao md5 hasheve. Možemo stvoriti još jednu bazu podataka koja ima md5 hashove često korištenih lozinki. Tada možemo usporediti hash lozinke koji imamo s pohranjenim hashovima u bazi podataka. Ako se pronađe podudaranje, tada imamo lozinku.
  • Pogodite - Kao što samo ime govori, ova metoda uključuje pogađanje. Lozinke poput qwerty, lozinke, administratora itd. Obično se koriste ili se postavljaju kao zadane lozinke. Ako nisu promijenjene ili ako je korisnik neoprezan pri odabiru lozinki, tada ih se lako može ugroziti.
  • Spidering - Većina organizacija koristi lozinke koje sadrže podatke o tvrtki. Te se informacije mogu naći na web stranicama tvrtki, društvenim mrežama kao što su facebook, twitter itd. Spidering prikuplja podatke iz tih izvora kako bi se došlo do popisa riječi. Popis riječi tada se koristi za izvršavanje napada na rječnik i grubu silu.

Spidering uzorak rječnika napada popisa riječi 

1976 smith jones acme built|to|last golfing|chess|soccer  

Alat za probijanje lozinki


To su softverski programi koji se koriste za probijanje korisničkih lozinki . Već smo pogledali sličan alat u gornjem primjeru o jačinama lozinki. Web stranica www.md5this.com koristi duginu tablicu za razbijanje lozinki. Sada ćemo razmotriti neke od najčešće korištenih alata


Ivana Trbosjeka


John Trbosjek koristi naredbeni redak za probijanje lozinki. To ga čini pogodnim za napredne korisnike kojima je ugodno raditi s naredbama. Koristi se za popis riječi za probijanje lozinki. Program je besplatan, ali popis riječi mora se kupiti. Ima besplatne popise alternativnih riječi koje možete koristiti. Posjetite web mjesto proizvoda https://www.openwall.com/john/ za više informacija i kako ga koristiti.


Kain i Abel


Cain & Abel trči na prozorima. Koristi se za oporavak lozinki za korisničke račune, oporavak lozinki za Microsoft Access; njuškanje preko mreže, itd. Za razliku od Johna Trbosjeka, Cain & Abel koristi grafičko korisničko sučelje. Zbog jednostavnosti upotrebe vrlo je čest među novorođenima i dječacima koji se bave skriptama. Posjetite web mjesto proizvoda https://www.softpedia.com/get/Security/Decrypting-Decoding/Cain-and-Abel.shtml za više informacija i kako ga koristiti.





Ophcrack


Ophcrack je sustav za obradu lozinki za više platformi koji koristi dugine tablice za razbijanje lozinki. Radi na sustavima Windows, Linux i Mac OS. Također ima modul za napade grubom silom, između ostalih značajki. Posjetite web mjesto proizvoda https://ophcrack.sourceforge.io/ za više informacija i kako ga koristiti.



Protumjere za probijanje lozinki


    

  • Organizacija može koristiti sljedeće metode kako bi smanjila vjerojatnost provale lozinki
    • 

  • Izbjegavajte kratke i lako predvidljive lozinke
    • 

  • Izbjegavajte upotrebu lozinki s predvidljivim uzorcima kao što je 11552266.
    • 

  • Lozinke pohranjene u bazi podataka moraju uvijek biti šifrirane. Za md5 enkripcije, bolje je posoliti heš lozinke prije nego što ih pohranite. Soljenje uključuje dodavanje neke riječi u navedenu lozinku prije stvaranja hasha.
    • 

  • Većina sustava registracije ima pokazatelje snage lozinke, organizacije moraju usvojiti politike koje favoriziraju visoke brojeve snage lozinke.
    • 




Aktivnost hakiranja: Hakirajte odmah!


U ovom praktičnom scenariju razbit ćemo Windows račun pomoću jednostavne lozinke . Windows koristi NTLM hashove za šifriranje lozinki . Za to ćemo upotrijebiti alat za kreker NTLM u Cainu i Abelu.


Cain i Abel cracker mogu se koristiti za razbijanje lozinki pomoću;


    

  • Rječnik napada
    • 

  • Sirova snaga
    • 

  • Kriptanaliza
    • 



U ovom ćemo primjeru upotrijebiti rječnički napad. Ovdje ćete morati preuzeti popis riječi za rječnike napada 10k-Most-Common.zip


Za ovu demonstraciju stvorili smo račun pod nazivom Računi s lozinkom qwerty u sustavu Windows 7.



Koraci za lomljenje lozinke


    

  • Otvorite Caina i Abela , dobit ćete sljedeći glavni zaslon
    • 



    

  • Provjerite je li odabrana kartica za kreker kako je gore prikazano
    • 

  • Kliknite gumb Dodaj na alatnoj traci.
    • 



    

  • Pojavit će se sljedeći dijaloški prozor
    • 



    

  • Lokalni korisnički računi prikazat će se na sljedeći način. Imajte na umu da će prikazani rezultati biti korisničkih računa na vašem lokalnom računalu.
    • 



    

  • Desnom tipkom miša kliknite račun koji želite provaliti. U ovom uputstvu koristit ćemo račune kao korisnički račun.
    • 



    

  • Pojavit će se sljedeći zaslon
    • 



    

  • Desnom tipkom miša kliknite odjeljak rječnika i odaberite izbornik Dodaj na popis kao što je gore prikazano
    • 

  • Dođite do 10k najčešće datoteke.txt koju ste upravo preuzeli
    • 



    

  • Kliknite gumb Start
    • 

  • Ako je korisnik koristio jednostavnu lozinku poput qwerty, tada biste trebali dobiti sljedeće rezultate.
    • 



    

  • Napomena : vrijeme potrebno za probijanje lozinke ovisi o snazi ​​lozinke, složenosti i procesorskoj snazi ​​vašeg stroja.
    • 

  • Ako lozinka nije provalila pomoću rječničkog napada, možete pokušati grubu silu ili kriptoanalizu.
    • 




Sažetak


    

  • Probijanje lozinki je umjetnost oporavka pohranjenih ili prenesenih lozinki.
    • 

  • Snaga lozinke određuje se duljinom, složenošću i nepredvidljivošću vrijednosti lozinke.
    • 

  • Uobičajene tehnike lozinki uključuju napade rječnika, grubu silu, dugine stolove, paukove i pucanje.
    • 

  • Alati za probijanje lozinki pojednostavljuju postupak probijanja lozinki.
    •