Passwort-Cracker: Wie knackt (hackt) man ein Passwort?

Was ist Passwort-Cracking?

Beim Knacken von Passwörtern wird versucht, sich mithilfe gängiger Passwörter oder Algorithmen, die Passwörter erraten, unbefugten Zugriff auf eingeschränkte Systeme zu verschaffen. Mit anderen Worten: Es handelt sich um eine Kunst, das richtige Passwort zu erhalten, das den Zugriff auf ein System ermöglicht, das durch eine Authentifizierungsmethode geschützt ist.

Das Knacken von Passwörtern setzt eine Reihe von Techniken ein, um seine Ziele zu erreichen. Der Cracking-Prozess kann entweder den Vergleich gespeicherter Passwörter mit einer Wortliste oder die Verwendung von Algorithmen umfassen, um passende Passwörter zu generieren

Passwort knacken

In diesem Tutorial stellen wir Ihnen die gängigen Techniken zum Knacken von Passwörtern und die Gegenmaßnahmen vor, die Sie ergreifen können, um Systeme vor solchen Angriffen zu schützen.

Was ist Passwortstärke?

Die Passwortstärke ist das Maß für die Effizienz eines Passworts, Angriffen zum Knacken von Passwörtern zu widerstehen. Die Stärke eines Passworts wird bestimmt durch:

  • Länge: die Anzahl der Zeichen, die das Passwort enthält.
  • Mitplexity: Wird eine Kombination aus Buchstaben, Zahlen und Symbolen verwendet?
  • Unvorhersehbarkeit: Ist es etwas, das ein Angreifer leicht erraten kann?

Schauen wir uns nun ein praktisches Beispiel an. Wir werden nämlich drei Passwörter verwenden

1. Passwort

2. Passwort1

3. #passwort1$

In diesem Beispiel verwenden wir beim Erstellen von Passwörtern den Passwortstärkeindikator von Cpanel. Die folgenden Bilder zeigen die Passwortstärken der oben aufgeführten Passwörter.

Passwortstärke

Note: Das verwendete Passwort ist Passwort, die Stärke ist 1 und es ist sehr schwach.

Passwortstärke

Note: Das verwendete Passwort ist Passwort1, die Stärke beträgt 28 und es ist immer noch schwach.

Passwortstärke

Note: Das verwendete Passwort ist #password1$, die Stärke beträgt 60 und es ist stark.

Je höher die Stärkezahl, desto besser das Passwort.

Nehmen wir an, wir müssen unsere oben genannten Passwörter mit MD5-Verschlüsselung speichern. Wir werden ein Online verwenden md5-Hash generator um unsere Passwörter in MD5-Hashes umzuwandeln.

Die folgende Tabelle zeigt die Passwort-Hashes

Passwort MD5-Hashing Cpanel-Stärkeindikator

Passwort

5f4dcc3b5aa765d61d8327deb882cf99

1

password1

7c6a180b36896a0a8c02787eeafb0e4c

28

#passwort1$

29e08fb7103c327d68327f23d8d9256c

60

Wir werden jetzt verwenden http://www.md5this.com/ um die oben genannten Hashes zu knacken. Die folgenden Bilder zeigen die Ergebnisse des Passwortknackens für die oben genannten Passwörter.

Ergebnisse zum Knacken von Passwörtern

Ergebnisse zum Knacken von Passwörtern

Ergebnisse zum Knacken von Passwörtern

Wie Sie den obigen Ergebnissen entnehmen können, ist es uns gelungen, das erste und das zweite Passwort zu knacken, die eine geringere Stärke aufwiesen. Wir haben es nicht geschafft, das dritte Passwort zu knacken, das länger war, complex und unvorhersehbar. Es hatte eine höhere Festigkeitszahl.

Techniken zum Knacken von Passwörtern

Es gibt eine Reihe von Techniken, mit denen sich Passwörter knacken lassen. Im Folgenden werden die am häufigsten verwendeten beschrieben.

  • Wörterbuchangriff– Bei dieser Methode wird eine Wortliste zum Vergleich mit Benutzerkennwörtern verwendet.
  • Brute-Force-Angriff– Diese Methode ähnelt dem Wörterbuchangriff. Brute-Force-Angriffe nutzen Algorithmen, die alphanumerische Zeichen und Symbole kombinieren, um Passwörter für den Angriff zu erstellen. Beispielsweise kann mit der Brute-Force-Attacke auch ein Passwort mit dem Wert „password“ als p@$$word ausprobiert werden.
  • Angriff auf den Regenbogentisch– Diese Methode verwendet vorberechnete Hashes. Nehmen wir an, dass wir eine Datenbank haben, die Passwörter als MD5-Hashes speichert. Wir können eine weitere Datenbank erstellen, die MD5-Hashes häufig verwendeter Passwörter enthält. Anschließend können wir den uns vorliegenden Passwort-Hash mit den in der Datenbank gespeicherten Hashes vergleichen. Wenn eine Übereinstimmung gefunden wird, haben wir das Passwort.
  • Guess – Wie der Name schon sagt, geht es bei dieser Methode um Raten. Passwörter wie qwerty, Passwort, Admin usw. werden häufig verwendet oder als Standardpasswörter festgelegt. Wenn sie nicht geändert wurden oder der Benutzer bei der Auswahl von Passwörtern nachlässig ist, können sie leicht kompromittiert werden.
  • Spinnen– Die meisten Organisationen verwenden Passwörter, die Unternehmensinformationen enthalten. Diese Informationen finden Sie auf Unternehmenswebsites, in sozialen Medien wie Facebook, Twitter usw. Spidering sammelt Informationen aus diesen Quellen, um Wortlisten zu erstellen. Die Wortliste wird dann verwendet, um Wörterbuch- und Brute-Force-Angriffe durchzuführen.

Spidering-Beispielwortliste für Wörterbuchangriffe

1976 <founder birth year>

smith jones <founder name>

acme <company name/initials>

built|to|last <words in company vision/mission>

golfing|chess|soccer <founders hobbies

Passwort-Cracker-Tools

Hierbei handelt es sich um Softwareprogramme, die zum Knacken von Benutzerkennwörtern verwendet werden. Ein ähnliches Tool haben wir uns bereits im obigen Beispiel zur Passwortstärke angesehen. Die Webseite http://www.md5this.com/ verwendet eine Regenbogentabelle, um Passwörter zu knacken. Wir werden uns nun einige der am häufigsten verwendeten Tools ansehen

1) Johannes der Ripper

John the Ripper nutzt die Eingabeaufforderung, um Passwörter zu knacken. Dadurch eignet es sich für fortgeschrittene Benutzer, die mit Befehlen vertraut sind. Es verwendet eine Wortliste, um Passwörter zu knacken. Das Programm ist kostenlos, die Wortliste muss jedoch gekauft werden. Es verfügt über kostenlose alternative Wortlisten, die Sie verwenden können. Besuchen Sie die Produktwebsite https://www.openwall.com/john/ Weitere Informationen und die Verwendung finden Sie hier.

2) Kain und Abel

Cain & Abel läuft unter Windows. Es wird verwendet, um Passwörter für Benutzerkonten wiederherzustellen Microsoft Zugangskennwörter; Netzwerkschnüffeln usw. Im Gegensatz zu John the Ripper verwendet Cain & Abel eine grafische Benutzeroberfläche. Aufgrund seiner einfachen Handhabung ist es bei Neulingen und Skript-Kiddies sehr verbreitet. Besuchen Sie die Produktwebsite https://sectools.org/tool/cain/ Weitere Informationen und die Verwendung finden Sie hier.

3) Ophcrack

Ophcrack ist ein plattformübergreifender Windows-Passwort-Cracker, der Rainbow-Tabellen zum Knacken von Passwörtern verwendet. Es läuft unter Windows, Linux und Mac OS. Es verfügt unter anderem auch über ein Modul für Brute-Force-Angriffe. Besuchen Sie die Produktwebsite https://ophcrack.sourceforge.io/ Weitere Informationen und die Verwendung finden Sie hier.

mSpy

Mit mspy, einer Keylogger-Anwendung, können Sie alle Wörter, die jemand eintippt, diskret beobachten, ohne physisch anwesend sein zu müssen. Mit diesem Tool können Sie jeden Tastendruck und jedes Tippen auf einem Gerät verfolgen und überwachen beliebte Chat-Apps wie WhatsApp, Instagram, Tinder, Snapchat und Viber. Sehen Sie sich mühelos alle Textnachrichten und Sofortnachrichten an und nutzen Sie die integrierte Funktion GPS-Einheit mit Spuraufzeichnung um die Position eines Geräts zu lokalisieren.

Wie schützt man sich vor Passwort-Cracking-Angriffen?

  • Eine Organisation kann Folgendes verwendenwing Methoden, um die Wahrscheinlichkeit zu verringern, dass Passwörter geknackt werden
  • Vermeiden Sie kurze und leicht vorhersehbare Passwörter
  • Vermeiden Sie die Verwendung von Passwörtern mit vorhersehbaren Mustern wie 11552266.
  • In der Datenbank gespeicherte Passwörter müssen immer verschlüsselt sein. Bei MD5-Verschlüsselungen ist es besser, die Passwort-Hashes vor dem Speichern zu salzen. Beim Salting wird dem bereitgestellten Passwort ein Wort hinzugefügt, bevor der Hash erstellt wird.
  • Die meisten Registrierungssysteme verfügen über Indikatoren für die Passwortstärke. Unternehmen müssen daher Richtlinien einführen, die hohe Passwortstärken begünstigen.

Hacking-Aktivität: Jetzt hacken!

In diesem praktischen Szenario werden wir Folgendes tun Windows-Konto mit einem einfachen Passwort knacken. Windows verwendet NTLM-Hashes, um Passwörter zu verschlüsseln. Dazu werden wir das NTLM-Cracker-Tool in Cain and Abel verwenden.

Mit dem Cain- und Abel-Cracker lassen sich Passwörter knacken.

In diesem Beispiel verwenden wir den Wörterbuchangriff. Sie müssen die Wortliste für den Wörterbuchangriff hier herunterladen 10k-Most-Common.zip

Für diese Demonstration haben wir unter Windows 7 ein Konto namens Accounts mit dem Passwort qwerty erstellt.

Hacking-Aktivität

So knacken Sie ein Passwort

Schritt 1) Öffnen Sie Kain und Abel.

Sie erhalten Folgendeswing Hauptbildschirm

Knacken Sie ein Passwort

Schritt 2) Suchen Sie nach der Schaltfläche „Hinzufügen“.

Stellen Sie sicher, dass die Cracker-Registerkarte wie oben gezeigt ausgewählt ist, und klicken Sie auf die Schaltfläche „Hinzufügen“ in der Symbolleiste.

Knacken Sie ein Passwort

Schritt 3) Dialog prüfen box.

Die folgendenwing Es erscheint ein Dialogfenster. Importieren Sie lokale Benutzer und klicken Sie auf die Schaltfläche „Weiter“.

Knacken Sie ein Passwort

Schritt 4) Die lokalen Benutzerkonten werden wie folgt angezeigt.

Beachten Sie, dass die angezeigten Ergebnisse die Benutzerkonten auf Ihrem lokalen Computer betreffen.

Knacken Sie ein Passwort

Schritt 5) Klicken Sie mit der rechten Maustaste auf das Konto, das Sie knacken möchten.

Für dieses Tutorial verwenden wir Konten als Benutzerkonto.

Knacken Sie ein Passwort

Schritt 6) Überprüfen Sie den folgenden Bildschirm.

Klicken Sie mit der rechten Maustaste auf den Wörterbuchabschnitt und wählen Sie wie oben gezeigt das Menü „Zur Liste hinzufügen“ aus.

Knacken Sie ein Passwort

Schritt 7) Datei durchsuchen.

Navigieren Sie zu der Datei „most common.txt“ mit 10 KB, die Sie gerade heruntergeladen haben

Knacken Sie ein Passwort

Schritt 8) Überprüfen Sie die Ergebnisse.

Wenn der Benutzer ein einfaches Passwort wie qwerty verwendet hat, sollten Sie in der Lage sein, Folgendes zu erhaltenwing Ergebnisse angezeigt

Knacken Sie ein Passwort

  • Note: Die zum Knacken des Passworts benötigte Zeit hängt von der Passwortstärke ab, complexKapazität und Rechenleistung Ihrer Maschine.
  • Wenn das Passwort nicht durch einen Wörterbuchangriff geknackt wird, können Sie Brute-Force- oder Kryptoanalyse-Angriffe versuchen.

Zusammenfassung

  • Beim Passwortknacken handelt es sich um die Kunst, gespeicherte oder übertragene Passwörter wiederherzustellen.
  • Die Passwortstärke wird durch die Länge bestimmtplexität und Unvorhersehbarkeit eines Passwortwerts.
  • Zu den gängigen Passworttechniken gehören Wörterbuchangriffe, Brute Force, Rainbow Tables, Spidering und Cracking.
  • Tools zum Knacken von Passwörtern Vereinfachen Sie den Prozess des Knackens von Passwörtern.
Guru99 wird von Invicti gesponsert
Invicti

Invicti, die Entwickler der Proof Based Scanning-Technologie, haben das Guru99-Projekt gesponsert, um das Bewusstsein für die Sicherheit von Webanwendungen zu schärfen und mehr Entwicklern die Möglichkeit zu geben, sich mit dem Schreiben von sicherem Code vertraut zu machen