Hvordan knekke et passord

Hva er passordsprekker?

Passordknusing er prosessen med å prøve å få uautorisert tilgang til begrensede systemer ved hjelp av vanlige passord eller algoritmer som gjetter passord. Med andre ord er det en kunst å skaffe riktig passord som gir tilgang til et system beskyttet av en autentiseringsmetode.

Passordsprekking bruker en rekke teknikker for å nå sine mål. Sprekkingsprosessen kan innebære enten å sammenligne lagrede passord mot ordliste eller bruke algoritmer til å generere passord som samsvarer

I denne opplæringen vil vi introdusere deg for vanlige teknikker for passordsprekking og mottiltak du kan implementere for å beskytte systemer mot slike angrep.

Emner dekket i denne opplæringen

• Hva er passordstyrke?
• Passordknusingsteknikker
• Passordsprekkingsverktøy
• Passordsprekkende mottiltak
• Hacking Oppdrag: Hack nå!

Hva er passordstyrke?

Passordstyrke er målingen på et passords effektivitet for å motstå angrep med å knekke passord . Styrken til et passord bestemmes av;

• Lengde : antall tegn passordet inneholder.
• Kompleksitet : bruker den en kombinasjon av bokstaver, tall og symbol?
• Uforutsigbarhet : er det noe som en angriper lett kan gjette?

La oss nå se på et praktisk eksempel. Vi vil bruke tre passord, nemlig

1. passord

2. passord 1

3. # passord1 $

For dette eksemplet vil vi bruke passordstyrkeindikatoren til Cpanel når vi lager passord. Bildene nedenfor viser passordstyrken til hvert av de ovennevnte passordene.

Merk : passordet som brukes er passord, styrken er 1, og det er veldig svakt.

Merk : passordet som brukes er passord1 styrken er 28, og det er fortsatt svakt.

Merk : Passordet som brukes er # password1 $ styrken er 60 og det er sterkt.

Jo høyere styrkenummer, jo bedre passord.

La oss anta at vi må lagre passordene våre ovenfor ved hjelp av md5-kryptering. Vi bruker en online md5-hashgenerator for å konvertere passordene våre til md5-hashes.

Tabellen nedenfor viser passordhash

Passord	MD5 Hash	Cpanel styrkeindikator
passord	5f4dcc3b5aa765d61d8327deb882cf99	1
passord 1	7c6a180b36896a0a8c02787eeafb0e4c	28
# passord1 $	29e08fb7103c327d68327f23d8d9256c	60

Vi vil nå bruke http://www.md5this.com/ for å knekke ovennevnte hashes. Bildene nedenfor viser resultatene for sprekkingen av passordet for passordene ovenfor.

Som du kan se fra resultatene ovenfor, klarte vi å knekke det første og andre passordet som hadde lavere styrketall. Vi klarte ikke å knekke det tredje passordet som var lengre, komplekst og uforutsigbart. Den hadde et høyere styrketall.

Passordknusingsteknikker

Det finnes en rekke teknikker som kan brukes til å knekke passord . Vi vil beskrive de mest brukte nedenfor;

• Ordbokangrep - Denne metoden innebærer bruk av en ordliste for å sammenligne med brukerpassord.
• Brute force attack - Denne metoden ligner på ordbokangrepet. Brute force-angrep bruker algoritmer som kombinerer alfanumeriske tegn og symboler for å komme med passord for angrepet. For eksempel kan et passord med verdien “passord” også prøves som p @ $$ ord ved hjelp av brute force-angrepet.
• Rainbow tabellangrep - Denne metoden bruker forhåndsberegnede hashes. La oss anta at vi har en database som lagrer passord som md5-hashes. Vi kan opprette en annen database som har md5-hashes av ofte brukte passord. Vi kan deretter sammenligne passordhashen vi har med de lagrede hashene i databasen. Hvis det blir funnet en kamp, ​​har vi passordet.
• Gjett - Som navnet antyder, innebærer denne metoden å gjette. Passord som qwerty, passord, admin, etc. blir ofte brukt eller angitt som standardpassord. Hvis de ikke er endret, eller hvis brukeren er uforsiktig når de velger passord, kan de lett kompromitteres.
• Spidering - De fleste organisasjoner bruker passord som inneholder firmainformasjon. Denne informasjonen finnes på selskapets nettsteder, sosiale medier som facebook, twitter osv. Spidering samler informasjon fra disse kildene for å komme med ordlister. Ordlisten brukes deretter til å utføre ordbok- og brute force-angrep.

Spider eksempler på ordliste angrep ordliste

1976 smith jones acme built|to|last golfing|chess|soccer  
Passordsprekkingsverktøy
Dette er programvare som brukes til å knekke brukerpassord . Vi har allerede sett på et lignende verktøy i eksemplet ovenfor om passordstyrker. Nettstedet www.md5this.com bruker et regnbuebord for å knekke passord. Vi vil nå se på noen av de ofte brukte verktøyene
John the Ripper
John the Ripper bruker ledeteksten til å knekke passord. Dette gjør det egnet for avanserte brukere som er komfortable med å jobbe med kommandoer. Den bruker ordliste for å knekke passord. Programmet er gratis, men ordlisten må kjøpes. Den har gratis alternative ordlister som du kan bruke. Besøk produktsiden https://www.openwall.com/john/ for mer informasjon og hvordan du bruker den.
Kain & Abel
Cain & Abel kjører på vinduer. Den brukes til å gjenopprette passord for brukerkontoer, gjenopprette Microsoft Access-passord; nettverkssnusing osv. I motsetning til John the Ripper bruker Cain & Abel et grafisk brukergrensesnitt. Det er veldig vanlig blant nybegynnere og skriptkiddies på grunn av dets brukervennlighet. Besøk produktsiden https://www.softpedia.com/get/Security/Decrypting-Decoding/Cain-and-Abel.shtml for mer informasjon og hvordan du bruker den.


Ophcrack
Ophcrack er en kryssplattform Windows-passordknekker som bruker regnbuebord for å knekke passord. Den kjører på Windows, Linux og Mac OS. Den har også en modul for brute force-angrep blant andre funksjoner. Besøk produktsiden https://ophcrack.sourceforge.io/ for mer informasjon og hvordan du bruker den.

Passordsprekkende mottiltak

En organisasjon kan bruke følgende metoder for å redusere sjansene for at passordene blir sprukket
Unngå korte og lett forutsigbare passord
Unngå å bruke passord med forutsigbare mønstre som 11552266.
Passord som er lagret i databasen må alltid være kryptert. For md5-kryptering er det bedre å salte passordhashene før du lagrer dem. Salting innebærer å legge til noen ord i det oppgitte passordet før du oppretter hash.
De fleste registreringssystemer har passordstyrkeindikatorer. Organisasjoner må vedta retningslinjer som favoriserer høyt antall passordstyrker.


Hacking-aktivitet: Hack nå!
I dette praktiske scenariet skal vi knekke Windows-kontoen med et enkelt passord . Windows bruker NTLM-hashes for å kryptere passord . Vi vil bruke NTLM cracker-verktøyet i Cain og Abel til å gjøre det.
Cain og Abel cracker kan brukes til å knekke passord ved hjelp av;

Ordbokangrep
Ren styrke
Kryptanalyse

Vi vil bruke ordbokangrepet i dette eksemplet. Du må laste ned ordlisten angrep ordliste her 10k-Most-Common.zip
For denne demonstrasjonen har vi opprettet en konto som heter Kontoer med passordet qwerty på Windows 7.

Trinn for passordsprengning

Åpne Cain og Abel , du får følgende hovedskjerm


Forsikre deg om at cracker-fanen er valgt som vist ovenfor
Klikk på Legg til-knappen på verktøylinjen.


Følgende dialogvindu vises


De lokale brukerkontoer vises som følger. Vær oppmerksom på at resultatene som vises vil være av brukerkontoer på din lokale maskin.


Høyreklikk på kontoen du vil knekke. For denne opplæringen vil vi bruke kontoer som brukerkonto.


Følgende skjermbilde vises


Høyreklikk på ordbokdelen og velg Legg til i menyen som vist ovenfor
Bla til den 10k vanligste.txt-filen du nettopp lastet ned


Klikk på startknappen
Hvis brukeren brukte et enkelt passord som qwerty, bør du kunne få følgende resultater.


Merk : tiden det tar å knekke passordet, avhenger av passordstyrken, kompleksiteten og prosessorkraften til maskinen din.
Hvis passordet ikke er sprukket ved hjelp av et ordbokangrep, kan du prøve brute force eller cryptanalysis-angrep.


Sammendrag

Passordknusing er kunsten å gjenopprette lagrede eller overførte passord.
Passordstyrke bestemmes av lengden, kompleksiteten og uforutsigbarheten til en passordverdi.
Vanlige passordteknikker inkluderer ordbokangrep, brute force, regnbuebord, spidering og sprekker.
Verktøy for å knekke passord forenkle prosessen med å knekke passord.