Password Cracker: Jak prolomit (hacknout) heslo?
Co je to prolomení hesel?
Prolomení hesla je proces pokusu získat neoprávněný přístup k omezeným systémům pomocí běžných hesel nebo algoritmů, které hesla hádají. Jinými slovy, je to umění získat správné heslo, které umožňuje přístup do systému chráněného autentizační metodou.
Prolomení hesel využívá k dosažení svých cílů řadu technik. Proces prolomení může zahrnovat buď porovnání uložených hesel se seznamem slov, nebo použití algoritmů ke generování hesel, která se shodují.
V tomto tutoriálu vám představíme běžné techniky prolomení hesel a protiopatření, která můžete použít k ochraně systémů proti takovým útokům.
Co je to síla hesla?
Síla hesla je měřítkem účinnosti hesla odolávat útokům na prolomení hesla. Síla hesla je určena;
- Délka: počet znaků, které heslo obsahuje.
- Komplexita: používá kombinaci písmen, číslic a symbolů?
- Nepředvídatelnost: je to něco, co může útočník snadno uhodnout?
Podívejme se nyní na praktický příklad. Budeme používat tři hesla
1. heslo
2. heslo1
3. #heslo1$
V tomto příkladu použijeme při vytváření hesel indikátor síly hesla Cpanel. Obrázky níže ukazují sílu hesel každého z výše uvedených hesel.
Pozor: použité heslo je heslo síla je 1 a je velmi slabé.
Pozor: použité heslo je password1, síla je 28 a je stále slabé.
Pozor: Použité heslo je #password1$ síla je 60 a je silné.
Čím vyšší číslo síly, tím lepší heslo.
Předpokládejme, že musíme uložit naše výše uvedená hesla pomocí šifrování md5. Použijeme online md5 hash generátor převést naše hesla na md5 hash.
Níže uvedená tabulka ukazuje hodnoty hash hesel
Heslo | Hash MD5 | Indikátor síly ovládacího panelu |
---|---|---|
heslo |
5f4dcc3b5aa765d61d8327deb882cf99 |
1 |
password1 |
7c6a180b36896a0a8c02787eeafb0e4c |
28 |
#heslo1$ |
29e08fb7103c327d68327f23d8d9256c |
60 |
Nyní použijeme http://www.md5this.com/
prolomit výše uvedené hashe. Níže uvedené obrázky ukazují výsledky prolomení hesel pro výše uvedená hesla.
Jak můžete vidět z výše uvedených výsledků, podařilo se nám prolomit první a druhé heslo, které měly nižší čísla síly. Nepodařilo se nám prolomit třetí heslo, které bylo delší, složité a nepředvídatelné. Měl vyšší číslo síly.
Techniky prolomení hesel
Existuje celá řada techniky, které lze použít k prolomení hesel. Níže popíšeme ty nejpoužívanější;
- Slovníkový útok– Tato metoda zahrnuje použití seznamu slov k porovnání s uživatelskými hesly.
- Útok hrubou silou– Tato metoda je podobná slovníkovému útoku. Útoky hrubou silou používají algoritmy, které kombinují alfanumerické znaky a symboly, aby vytvořily hesla pro útok. Například heslo v hodnotě „password“ lze také vyzkoušet jako p@$$word pomocí útoku hrubou silou.
- Útok na duhový stůl– Tato metoda používá předem vypočítané hashe. Předpokládejme, že máme databázi, která ukládá hesla jako md5 hash. Můžeme vytvořit další databázi, která má md5 hash běžně používaných hesel. Poté můžeme porovnat hash hesla, který máme, s uloženými hashemi v databázi. Pokud je nalezena shoda, máme heslo.
- Hádat– Jak název napovídá, tato metoda zahrnuje hádání. Hesla jako qwerty, password, admin atd. se běžně používají nebo jsou nastavena jako výchozí hesla. Pokud nebyly změněny nebo pokud je uživatel při výběru hesel neopatrný, lze je snadno prolomit.
- Pavouk– Většina organizací používá hesla, která obsahují informace o společnosti. Tyto informace lze nalézt na firemních webových stránkách, sociálních médiích jako facebook, twitter atd. Spidering shromažďuje informace z těchto zdrojů, aby vytvořil seznamy slov. Seznam slov se pak používá k provádění slovníkových útoků a útoků hrubou silou.
Spidering ukázkový slovník útok wordlist
1976 <founder birth year> smith jones <founder name> acme <company name/initials> built|to|last <words in company vision/mission> golfing|chess|soccer <founders hobbies
Nástroje pro prolomení hesel
Jedná se o softwarové programy, které se používají k prolomení uživatelských hesel. Na podobný nástroj jsme se již podívali ve výše uvedeném příkladu ohledně síly hesla. Webová stránka http://www.md5this.com/
používá k prolomení hesel duhovou tabulku. Nyní se podíváme na některé běžně používané nástroje
1) John the Ripper
John the Ripper používá příkazový řádek k prolomení hesel. Díky tomu je vhodný pro pokročilé uživatele, kterým vyhovuje práce s příkazy. K prolomení hesel používá seznam slov. Program je zdarma, ale seznam slov je nutné zakoupit. Má bezplatné seznamy alternativních slov, které můžete použít. Navštivte webové stránky produktu https://www.openwall.com/john/ pro více informací a jak jej používat.
2) Cain & Abel
Cain & Abel běží na windows. Slouží k obnovení hesel k uživatelským účtům, obnovení Microsoft přístupová hesla; networking sniffing atd. Na rozdíl od John the Ripper, Cain & Abel používá grafické uživatelské rozhraní. To je velmi běžné mezi nováčky a skriptovací děti kvůli jeho jednoduchosti použití. Navštivte webové stránky produktu https://sectools.org/tool/cain/ pro více informací a jak jej používat.
3) Ophcrack
Ophcrack je multiplatformní Windows cracker hesel, který používá duhové tabulky k prolomení hesel. Běží dál Windows, Linux a Mac OS. Kromě jiných funkcí má také modul pro útoky hrubou silou. Navštivte webové stránky produktu https://ophcrack.sourceforge.io/ pro více informací a jak jej používat.
mSpy
S mspy, aplikaci keylogger, můžete diskrétně sledovat všechna slova, která někdo napíše, aniž byste museli být fyzicky přítomni. Tento nástroj vám umožňuje sledovat každý stisk klávesy a klepnutí na zařízení i na monitor oblíbené chatovací aplikace jako WhatsApp, Instagram, Tinder, Snapchat a Viber. Bez námahy si prohlížejte všechny textové zprávy a rychlé zprávy a používejte vestavěné GPS tracker k nalezení polohy zařízení.
Jak se chránit před útoky na prolomení hesla?
- Organizace může použít následující metody ke snížení pravděpodobnosti prolomení hesel
- Vyhněte se krátkým a snadno předvídatelným heslům
- Nepoužívejte hesla s předvídatelnými vzory, jako je 11552266.
- Hesla uložená v databázi musí být vždy zašifrována. U šifrování md5 je lepší osolit hashe hesel před jejich uložením. Solení zahrnuje přidání nějakého slova do poskytnutého hesla před vytvořením hashe.
- Většina registračních systémů má indikátory síly hesla, organizace musí přijmout zásady, které upřednostňují vysoká čísla síly hesla.
Hacking Activity: Hack Now!
V tomto praktickém scénáři se chystáme crack Windows účet s jednoduchým heslem. Windows používá NTLM hash k šifrování hesel. K tomu použijeme nástroj NTLM cracker v Cain a Abel.
Cracker Cain a Abel lze použít k prolomení hesel pomocí;
- Slovníkový útok
- Hrubou silou
- Kryptanalýza
V tomto příkladu použijeme slovníkový útok. Zde si budete muset stáhnout slovník útoků 10k-Most-Common.zip
Pro tuto ukázku jsme vytvořili účet nazvaný Účty se zapnutým heslem qwerty Windows 7.
Jak prolomit heslo
Krok 1) Otevřete Kaina a Ábela.
dostanete následující hlavní obrazovku
Krok 2) Najít tlačítko Přidat.
Ujistěte se, že je vybrána záložka cracker, jak je uvedeno výše, a klikněte na tlačítko Přidat na panelu nástrojů.
Krok 3) Zaškrtávací dialogové okno.
Zobrazí se následující dialogové okno. Importujte místní uživatele a klikněte na další tlačítko.
Krok 4) Místní uživatelské účty se zobrazí následovně.
Všimněte si, že zobrazené výsledky budou z uživatelských účtů na vašem místním počítači.
Krok 5) Klikněte pravým tlačítkem na účet, který chcete prolomit.
V tomto tutoriálu použijeme účty jako uživatelský účet.
Krok 6) Zkontrolujte níže uvedenou obrazovku.
Klikněte pravým tlačítkem na sekci slovníku a vyberte Přidat do nabídky seznamu, jak je uvedeno výše.
Krok 7) Procházet soubor.
Vyhledejte soubor 10k most common.txt, který jste právě stáhli
Krok 8) Zkontrolujte výsledky.
Pokud uživatel použil jednoduché heslo, jako je qwerty, měli byste být schopni získat následující výsledky.
- Pozor: čas potřebný k prolomení hesla závisí na síle hesla, složitosti a výpočetním výkonu vašeho počítače.
- Pokud heslo není prolomeno pomocí slovníkového útoku, můžete zkusit útoky hrubou silou nebo kryptoanalýzou.
Shrnutí
- Prolomení hesel je umění obnovit uložená nebo přenesená hesla.
- Síla hesla je určena délkou, složitostí a nepředvídatelností hodnoty hesla.
- Mezi běžné techniky hesel patří slovníkové útoky, hrubá síla, duhové tabulky, spidering a cracking.
- Nástroje pro prolomení hesla zjednodušit proces prolamování hesel.