Sådan knækker du en adgangskode

Indholdsfortegnelse:

Anonim

Hvad er adgangskodebrydning?

Adgangskodebrydning er processen med at forsøge at få uautoriseret adgang til begrænsede systemer ved hjælp af almindelige adgangskoder eller algoritmer, der gætter adgangskoder. Med andre ord er det en kunst at få den korrekte adgangskode, der giver adgang til et system, der er beskyttet af en godkendelsesmetode.

Password cracking anvender en række teknikker til at nå sine mål. Krakningsprocessen kan involvere enten at sammenligne gemte adgangskoder med ordliste eller bruge algoritmer til at generere adgangskoder, der matcher

I denne vejledning introducerer vi dig til de almindelige adgangskodekrakningsteknikker og de modforanstaltninger, du kan implementere for at beskytte systemer mod sådanne angreb.

Emner der er beskrevet i denne vejledning

  • Hvad er adgangskodestyrke?
  • Password cracking teknikker
  • Password Cracking Tools
  • Adgangskodebrydende modforanstaltninger
  • Hacking-tildeling: Hack nu!

Hvad er adgangskodestyrke?

Adgangskodestyrke er målestokken for en adgangskodes effektivitet til at modstå angreb med adgangskodekrakning . Styrken af ​​et kodeord bestemmes af;

  • Længde : antallet af tegn, adgangskoden indeholder.
  • Kompleksitet : bruger den en kombination af bogstaver, tal og symbol?
  • Uforudsigelighed : er det noget, som en angriber let kan gætte på?

Lad os nu se på et praktisk eksempel. Vi bruger tre adgangskoder, nemlig

1. adgangskode

2. adgangskode1

3. # adgangskode1 $

I dette eksempel bruger vi Cpanels styrkeindikator for adgangskode, når vi opretter adgangskoder. Billederne nedenfor viser adgangskodestyrkerne for hver af de ovennævnte adgangskoder.

Bemærk : den anvendte adgangskode er adgangskoden, styrken er 1, og den er meget svag.

Bemærk : den anvendte adgangskode er adgangskode1 styrken er 28, og den er stadig svag.

Bemærk : Den anvendte adgangskode er # password1 $ styrken er 60, og den er stærk.

Jo højere styrke nummer, bedre adgangskode.

Lad os antage, at vi er nødt til at gemme vores ovenstående adgangskoder ved hjælp af md5-kryptering. Vi bruger en online md5-hashgenerator til at konvertere vores adgangskoder til md5-hashes.

Tabellen nedenfor viser adgangskodeshash

Adgangskode MD5 Hash Cpanel styrkeindikator
adgangskode 5f4dcc3b5aa765d61d8327deb882cf99 1
adgangskode 1 7c6a180b36896a0a8c02787eeafb0e4c 28
# adgangskode1 $ 29e08fb7103c327d68327f23d8d9256c 60

Vi bruger nu http://www.md5this.com/ til at knække ovenstående hashes. Billederne nedenfor viser resultaterne for adgangskodebrydning for ovenstående adgangskoder.

Som du kan se fra ovenstående resultater, lykkedes det os at knække de første og anden adgangskoder, der havde lavere styrketal. Det lykkedes os ikke at knække den tredje adgangskode, som var længere, kompleks og uforudsigelig. Det havde et højere styrke nummer.

Password cracking teknikker

Der er en række teknikker, der kan bruges til at knække adgangskoder . Vi vil beskrive de mest anvendte nedenfor:

  • Ordbogangreb - Denne metode involverer brugen af ​​en ordliste til sammenligning med brugeradgangskoder.
  • Brute force angreb - Denne metode svarer til ordbogens angreb. Brute force-angreb bruger algoritmer, der kombinerer alfanumeriske tegn og symboler for at komme med adgangskoder til angrebet. For eksempel kan en adgangskode med værdien "adgangskode" også afprøves som p @ $$ word ved hjælp af brute force angrebet.
  • Rainbow bordangreb - Denne metode bruger forudberegnede hashes. Lad os antage, at vi har en database, der gemmer adgangskoder som md5-hashes. Vi kan oprette en anden database, der har md5-hashes af almindeligt anvendte adgangskoder. Vi kan derefter sammenligne den adgangskodehash, vi har, med de gemte hash'er i databasen. Hvis der findes et match, har vi adgangskoden.
  • Gæt - Som navnet antyder, indebærer denne metode at gætte. Adgangskoder som qwerty, adgangskode, admin osv. Bruges ofte eller indstilles som standardadgangskoder. Hvis de ikke er blevet ændret, eller hvis brugeren er skødesløs, når han vælger adgangskoder, kan de let blive kompromitteret.
  • Spidering - De fleste organisationer bruger adgangskoder, der indeholder virksomhedsoplysninger. Denne information kan findes på virksomhedswebsteder, sociale medier såsom facebook, twitter osv. Spidering samler information fra disse kilder for at komme med ordlister. Ordlisten bruges derefter til at udføre ordbog- og brute force-angreb.

Spidering eksempler på ordliste angreb ordliste 

1976 smith jones acme built|to|last golfing|chess|soccer  

Password cracking værktøj


Dette er softwareprogrammer, der bruges til at knække brugeradgangskoder . Vi har allerede set på et lignende værktøj i ovenstående eksempel på adgangskodestyrker. Hjemmesiden www.md5this.com bruger et regnbuebord til at knække adgangskoder. Vi vil nu se på nogle af de almindeligt anvendte værktøjer


John the Ripper


John the Ripper bruger kommandoprompten til at knække adgangskoder. Dette gør det velegnet til avancerede brugere, der er komfortable med at arbejde med kommandoer. Det bruger ordliste til at knække adgangskoder. Programmet er gratis, men ordlisten skal købes. Det har gratis alternative ordlister, som du kan bruge. Besøg produktwebstedet https://www.openwall.com/john/ for mere information og hvordan du bruger det.


Kain & Abel


Cain & Abel kører på windows. Det bruges til at gendanne adgangskoder til brugerkonti, gendannelse af Microsoft Access-adgangskoder; netværk sniffing osv. I modsætning til John the Ripper bruger Cain & Abel en grafisk brugergrænseflade. Det er meget almindeligt blandt nybegyndere og scriptkiddies på grund af dets brugervenlighed. Besøg produktwebstedet https://www.softpedia.com/get/Security/Decrypting-Decoding/Cain-and-Abel.shtml for at få flere oplysninger om, hvordan du bruger det.





Ophcrack


Ophcrack er en Windows-adgangskode-krakker på tværs af platforme, der bruger regnbue-tabeller til at knække adgangskoder. Det kører på Windows, Linux og Mac OS. Det har også et modul til brute force angreb blandt andre funktioner. Besøg produktwebstedet https://ophcrack.sourceforge.io/ for mere information og hvordan du bruger det.



Adgangskodebrydende modforanstaltninger


    

  • En organisation kan bruge følgende metoder til at reducere chancerne for, at adgangskoderne er blevet revnet
    • 

  • Undgå korte og let forudsigelige adgangskoder
    • 

  • Undgå at bruge adgangskoder med forudsigelige mønstre såsom 11552266.
    • 

  • Adgangskoder, der er gemt i databasen, skal altid være krypteret. For md5-kryptering er det bedre at salte adgangskodeshashene, før de gemmes. Saltning indebærer at tilføje nogle ord til den angivne adgangskode, før du opretter hash.
    • 

  • De fleste registreringssystemer har adgangskodestyrkeindikatorer, organisationer skal vedtage politikker, der favoriserer høj adgangskodestyrke.
    • 




Hacking-aktivitet: Hack nu!


I dette praktiske scenario vil vi knække Windows-konto med et simpelt kodeord . Windows bruger NTLM-hashes til at kryptere adgangskoder . Vi bruger NTLM-krakkerværktøjet i Kain og Abel til at gøre det.


Cain og Abel cracker kan bruges til at knække adgangskoder ved hjælp af;


    

  • Ordbog angreb
    • 

  • Råstyrke
    • 

  • Kryptanalyse
    • 



Vi bruger ordbogens angreb i dette eksempel. Du bliver nødt til at downloade ordlisten angrebsliste her 10k-Most-Common.zip


Til denne demonstration har vi oprettet en konto kaldet Konti med adgangskoden qwerty på Windows 7.



Trin med adgangskodebrydning


    

  • Åbn Cain og Abel , du får følgende hovedskærm
    • 



    

  • Sørg for, at cracker-fanen er valgt som vist ovenfor
    • 

  • Klik på knappen Tilføj på værktøjslinjen.
    • 



    

  • Følgende dialogvindue vises
    • 



    

  • De lokale brugerkonti vises som følger. Bemærk, at de viste resultater vil være af brugerkontiene på din lokale maskine.
    • 



    

  • Højreklik på den konto, du vil knække. Til denne vejledning bruger vi Konti som brugerkonto.
    • 



    

  • Følgende skærmbillede vises
    • 



    

  • Højreklik på ordbogssektionen, og vælg Føj til listemenu som vist ovenfor
    • 

  • Gennemse den 10k mest almindelige.txt-fil, som du lige har downloadet
    • 



    

  • Klik på startknappen
    • 

  • Hvis brugeren brugte en simpel adgangskode som qwerty, skulle du være i stand til at få følgende resultater.
    • 



    

  • Bemærk : den tid, det tager at knække adgangskoden, afhænger af din maskins adgangskodestyrke, kompleksitet og processorkraft.
    • 

  • Hvis adgangskoden ikke er revnet ved hjælp af et ordbogangreb, kan du prøve brute force eller cryptanalysis-angreb.
    • 




Resumé


    

  • Adgangskodebrydning er kunsten at gendanne lagrede eller transmitterede adgangskoder.
    • 

  • Adgangskodestyrke bestemmes af længden, kompleksiteten og uforudsigeligheden af ​​en adgangskodeværdi.
    • 

  • Almindelige adgangskodeteknikker inkluderer ordbogangreb, brute force, regnbue borde, spidering og revner.
    • 

  • Password cracking værktøjer forenkler processen med cracking af adgangskoder.
    •