Kaip nulaužti slaptažodį

Kas yra slaptažodžio nulaužimas?

Slaptažodžio nulaužimas - tai bandymas įgyti neteisėtą prieigą prie ribotų sistemų, naudojant įprastus slaptažodžius ar algoritmus, kurie atspėja slaptažodžius. Kitaip tariant, tai yra menas gauti teisingą slaptažodį, suteikiantį prieigą prie sistemos, apsaugotos autentifikavimo metodu.

Slaptažodžio krekingo tikslams pasiekti naudojama daugybė metodų. Įsilaužimo procesas gali apimti saugomų slaptažodžių palyginimą su žodžių sąrašu arba atitinkamų slaptažodžių generavimui naudoti algoritmus

Šioje pamokoje mes supažindinsime jus su įprastais slaptažodžių nulaužimo būdais ir atsakomosiomis priemonėmis, kurias galite įgyvendinti, kad apsaugotumėte sistemas nuo tokių atakų.

Šioje pamokoje aptariamos temos

Kas yra slaptažodžio stiprumas?

Slaptažodžio stiprumas yra slaptažodžio efektyvumo, skirto atsispirti slaptažodžių krekingo atakoms, matas . Slaptažodžio stiprumą lemia;

  • Ilgis : simbolių, kuriuos turi slaptažodis, skaičius.
  • Sudėtingumas : ar jame naudojamas raidžių, skaičių ir simbolių derinys?
  • Nenuspėjamumas : ar tai kažkas, ką užpuolikas gali lengvai atspėti?

Dabar pažvelkime į praktinį pavyzdį. Mes naudosime tris slaptažodžius, būtent

1. Slaptažodis

2. slaptažodis1

3. #slaptažodis1 $

Šiame pavyzdyje kurdami slaptažodžius naudosime „Cpanel“ slaptažodžio stiprumo indikatorių. Žemiau esantys vaizdai rodo kiekvieno aukščiau išvardyto slaptažodžio stipriąsias puses.

Pastaba : naudojamas slaptažodis yra slaptažodis, stiprumas yra 1 ir jis yra labai silpnas.

Pastaba : naudojamas slaptažodis yra slaptažodis1, stiprumas 28, o jis vis dar silpnas.

Pastaba : Naudojamas slaptažodis #password1 $, stiprumas yra 60 ir jis yra stiprus.

Kuo didesnis stiprumo skaičius, tuo geresnis slaptažodis.

Tarkime, kad turime išsaugoti aukščiau pateiktus slaptažodžius naudodami „md5“ šifravimą. Mes naudosime internetą md5 maišos generatorius konvertuoti mūsų slaptažodžius į md5 maišas.

Žemiau esančioje lentelėje parodytos slaptažodžių maišos

Slaptažodis MD5 maišymas Cpanel stiprumo indikatorius
Slaptažodis 5f4dcc3b5aa765d61d8327deb882cf99 1
slaptažodis1 7c6a180b36896a0a8c02787eeafb0e4c 28
#slaptažodis1 $ 29e08fb7103c327d68327f23d8d9256c 60

Dabar naudosime http://www.md5this.com/ nulaužti aukščiau pateiktas maišas. Žemiau esančiuose paveikslėliuose rodomi aukščiau nurodytų slaptažodžių krekingo rezultatai.

Kaip matote iš aukščiau pateiktų rezultatų, mums pavyko nulaužti pirmąjį ir antrąjį slaptažodžius, kurių stiprumo skaičiai buvo mažesni. Mums nepavyko nulaužti trečio slaptažodžio, kuris buvo ilgesnis, sudėtingesnis ir nenuspėjamas. Jis turėjo didesnį stiprumo skaičių.

Slaptažodžio krekingo metodai

Yra nemažai metodus, kurie gali būti naudojami slaptažodžiams nulaužti . Žemiau aprašysime dažniausiai naudojamus;

  • Žodyno ataka - Šis metodas apima žodžių sąrašo naudojimą, kad būtų galima palyginti su vartotojo slaptažodžiais.
  • Žiaurios jėgos puolimas - Šis metodas yra panašus į žodyno ataką. Žiaurios jėgos atakos naudoja algoritmus, kurie sujungia raidinius ir skaitmeninius simbolius ir simbolius, kad sugalvotų atakos slaptažodžius. Pavyzdžiui, reikšminio slaptažodžio slaptažodį taip pat galima išbandyti kaip p@$$ žodį naudojant brutalios jėgos ataką.
  • Vaivorykštės stalo ataka -Šis metodas naudoja iš anksto apskaičiuotas maišas. Tarkime, kad turime duomenų bazę, kurioje slaptažodžiai saugomi kaip md5 maišos. Galime sukurti kitą duomenų bazę, kurioje yra md5 dažniausiai naudojamų slaptažodžių maišos. Tada galime palyginti turimą slaptažodžio maišą su duomenų bazėje esančiomis maišomis. Jei randama atitiktis, mes turime slaptažodį.
  • Atspėk - Kaip rodo pavadinimas, šis metodas apima spėjimą. Slaptažodžiai, tokie kaip „qwerty“, slaptažodis, administratorius ir kt., Dažniausiai naudojami arba nustatomi kaip numatytieji slaptažodžiai. Jei jie nebuvo pakeisti arba jei vartotojas neatsargiai renkasi slaptažodžius, jie gali būti lengvai pažeisti.
  • Žmogus -voras - Dauguma organizacijų naudoja slaptažodžius, kuriuose yra įmonės informacija. Šią informaciją galima rasti įmonių svetainėse, socialiniuose tinkluose, pvz., „Facebook“, „Twitter“ ir tt. „Spidering“ renka informaciją iš šių šaltinių, kad sudarytų žodžių sąrašus. Tada žodžių sąrašas naudojamas žodyno ir brutalios jėgos atakoms atlikti.

Žmogiškųjų žodžių pavyzdžių atakos žodžių sąrašas

1976 smith jones acme built|to|last golfing|chess|soccer 

Slaptažodžio krekingo įrankis

Tai programinės įrangos programos, naudojamos vartotojų slaptažodžiams nulaužti . Mes jau pažvelgėme į panašų įrankį aukščiau pateiktame pavyzdyje apie slaptažodžių stipriąsias puses. Tinklalapis www.md5this.com naudoja vaivorykštės lentelę slaptažodžiams nulaužti. Dabar apžvelgsime kai kurias dažniausiai naudojamas priemones

Jonas Skerdikas

John the Ripper naudoja komandų eilutę slaptažodžiams nulaužti. Dėl to jis tinka pažengusiems vartotojams, kuriems patogu dirbti su komandomis. Jis naudojamas žodžių sąrašui nulaužti slaptažodžius. Programa yra nemokama, tačiau žodžių sąrašą reikia nusipirkti. Jame yra nemokamų alternatyvių žodžių sąrašų, kuriuos galite naudoti. Apsilankykite produkto svetainėje https://www.openwall.com/john/ daugiau informacijos ir kaip ja naudotis.

Kainas ir Abelis

Kainas ir Abelis veikia ant langų. Jis naudojamas vartotojo abonementų slaptažodžiams atkurti, „Microsoft Access“ slaptažodžių atkūrimui; tinklo šnipinėjimas ir tt Skirtingai nuo Džono Ripperio, „Cain & Abel“ naudoja grafinę vartotojo sąsają. Jis yra labai paplitęs tarp naujokų ir scenarijaus vaikų, nes yra paprastas. Apsilankykite produkto svetainėje https://www.softpedia.com/get/Security/Decrypting-Decoding/Cain-and-Abel.shtml daugiau informacijos ir kaip ja naudotis.

Ophcrack

„Ophcrack“ yra kelių platformų „Windows“ slaptažodžių krekeris, kuris naudoja vaivorykštės lenteles slaptažodžiams nulaužti. Jis veikia „Windows“, „Linux“ ir „Mac OS“. Be kitų funkcijų, jis taip pat turi brutalios jėgos atakų modulį. Apsilankykite produkto svetainėje https://ophcrack.sourceforge.io/ daugiau informacijos ir kaip ja naudotis.

Slaptažodžio nulaužimo kovos priemonės

  • Organizacija gali naudoti šiuos metodus, kad sumažintų slaptažodžių nulaužimo tikimybę
  • Venkite trumpų ir lengvai nuspėjamų slaptažodžių
  • Venkite slaptažodžių, kurių modeliai yra nuspėjami, pvz., 11552266.
  • Duomenų bazėje saugomi slaptažodžiai visada turi būti užšifruoti. Naudojant šifravimą md5, geriau išsaugoti slaptažodžių maišas prieš jas išsaugojant. Sūdymas apima žodžio pridėjimą prie pateikto slaptažodžio prieš kuriant maišą.
  • Dauguma registracijos sistemų turi slaptažodžio stiprumo rodiklius, organizacijos turi patvirtinti politiką, kuri teikia pirmenybę aukšto slaptažodžio stiprumo skaičiams.

Įsilaužimo veikla: įsilaužk dabar!

Pagal šį praktinį scenarijų mes ketiname nulaužti „Windows“ paskyrą paprastu slaptažodžiu . „Windows“ naudoja NTLM maišas slaptažodžiams šifruoti . Tam naudosime Kaino ir Abelio NTLM krekerių įrankį.

„Cain“ ir „Abel“ krekeriai gali būti naudojami slaptažodžiams nulaužti naudojant;

  • Žodyno ataka
  • Brutali jėga
  • Kriptoanalizė

Šiame pavyzdyje naudosime žodyno ataką. Čia turėsite atsisiųsti žodyno atakų žodžių sąrašą 10k-Most-Common.zip

Šiai demonstracijai „Windows 7“ sukūrėme paskyrą pavadinimu „Accounts“ su slaptažodžiu qwerty.

Slaptažodžio nulaužimo veiksmai

  • Atviras Kainas ir Abelis , pamatysite šį pagrindinį ekraną

  • Įsitikinkite, kad krekerio skirtukas pasirinktas, kaip parodyta aukščiau
  • Įrankių juostoje spustelėkite mygtuką Pridėti.

  • Bus parodytas toks dialogo langas

  • Vietinės vartotojų paskyros bus rodomos taip. Atkreipkite dėmesį, kad rodomi rezultatai bus jūsų vietinio kompiuterio vartotojo abonementai.

  • Dešiniuoju pelės mygtuku spustelėkite paskyrą, kurią norite nulaužti. Šioje pamokoje mes naudosime abonementus kaip vartotojo abonementą.

  • Bus parodytas toks ekranas

  • Dešiniuoju pelės mygtuku spustelėkite žodyno skyrių ir pasirinkite Pridėti prie sąrašo meniu, kaip parodyta aukščiau
  • Eikite į 10 tūkst. Labiausiai paplitusio failo, kurį ką tik atsisiuntėte

  • Spustelėkite pradžios mygtuką
  • Jei vartotojas naudojo paprastą slaptažodį, pvz., „Qwerty“, turėtumėte gauti šiuos rezultatus.

  • Pastaba : slaptažodžio nulaužimo laikas priklauso nuo jūsų įrenginio slaptažodžio stiprumo, sudėtingumo ir apdorojimo galios.
  • Jei slaptažodis nesulaužomas naudojant žodyno ataką, galite išbandyti brutalios jėgos ar kriptoanalizės išpuolius.

Santrauka

  • Slaptažodžio nulaužimas - tai menas atkurti išsaugotus ar perduotus slaptažodžius.
  • Slaptažodžio stiprumą lemia slaptažodžio vertės ilgis, sudėtingumas ir nenuspėjamumas.
  • Įprasti slaptažodžio metodai apima žodyno atakas, brutalią jėgą, vaivorykštės lenteles, spideravimą ir įtrūkimus.
  • Slaptažodžio krekingo įrankiai supaprastina slaptažodžių įsilaužimo procesą.