Passwort-Cracker: Wie knackt (hackt) man ein Passwort?

Was ist Passwort-Cracking?

Beim Passwortknacken wird versucht, sich mithilfe gängiger Passwörter oder Algorithmen, die Passwörter erraten, unbefugten Zugriff auf eingeschränkte Systeme zu verschaffen. Mit anderen Worten: Es handelt sich um die Kunst, das richtige Passwort zu erhalten, das Zugriff auf ein durch eine Authentifizierungsmethode geschütztes System gewährt.

Beim Knacken von Passwörtern werden verschiedene Techniken eingesetzt, um seine Ziele zu erreichen. Der Knackvorgang kann entweder den Vergleich gespeicherter Passwörter mit einer Wortliste beinhalten oder Algorithmen verwenden, um Passwörter zu generieren, die übereinstimmen

Passwort knacken

In diesem Tutorial stellen wir Ihnen die gängigen Techniken zum Knacken von Passwörtern und die Gegenmaßnahmen vor, die Sie ergreifen können, um Systeme vor solchen Angriffen zu schützen.

Was ist Passwortstärke?

Die Passwortstärke ist das Maß für die Effizienz eines Passworts, Angriffen zum Knacken von Passwörtern zu widerstehen. Die Stärke eines Passworts wird bestimmt durch:

  • Länge: die Anzahl der Zeichen, die das Passwort enthält.
  • Komplexität: Wird eine Kombination aus Buchstaben, Zahlen und Symbolen verwendet?
  • Unvorhersehbarkeit: Ist es etwas, das ein Angreifer leicht erraten kann?

Schauen wir uns nun ein praktisches Beispiel an. Wir werden nämlich drei Passwörter verwenden

1. Passwort

2. Passwort1

3. #passwort1$

In diesem Beispiel verwenden wir beim Erstellen von Passwörtern den Passwortstärkeindikator von Cpanel. Die folgenden Bilder zeigen die Passwortstärken der oben aufgeführten Passwörter.

Passwortstärke

Note: Das verwendete Passwort ist Passwort, die Stärke ist 1 und es ist sehr schwach.

Passwortstärke

Note: Das verwendete Passwort ist Passwort1, die Stärke beträgt 28 und es ist immer noch schwach.

Passwortstärke

Note: Das verwendete Passwort ist #password1$, die Stärke beträgt 60 und es ist stark.

Je höher die Stärkezahl, desto besser das Passwort.

Nehmen wir an, wir müssen unsere oben genannten Passwörter mit MD5-Verschlüsselung speichern. Wir werden ein Online verwenden MD5-Hash-Generator um unsere Passwörter in MD5-Hashes umzuwandeln.

Die folgende Tabelle zeigt die Passwort-Hashes

Passwort MD5-Hashing Cpanel-Stärkeindikator

Passwort

5f4dcc3b5aa765d61d8327deb882cf99

1

password1

7c6a180b36896a0a8c02787eeafb0e4c

28

#passwort1$

29e08fb7103c327d68327f23d8d9256c

60

Wir werden jetzt verwenden http://www.md5this.com/ um die oben genannten Hashes zu knacken. Die folgenden Bilder zeigen die Ergebnisse des Passwortknackens für die oben genannten Passwörter.

Ergebnisse zum Knacken von Passwörtern

Ergebnisse zum Knacken von Passwörtern

Ergebnisse zum Knacken von Passwörtern

Wie Sie den obigen Ergebnissen entnehmen können, konnten wir das erste und zweite Passwort mit niedrigerer Stärke knacken. Das dritte Passwort, das länger, komplexer und unvorhersehbar war, konnten wir nicht knacken. Es hatte eine höhere Stärke.

Techniken zum Knacken von Passwörtern

Es gibt eine Reihe von Techniken, mit denen sich Passwörter knacken lassen. Im Folgenden werden die am häufigsten verwendeten beschrieben.

  • Wörterbuchangriff– Bei dieser Methode wird eine Wortliste zum Vergleich mit Benutzerkennwörtern verwendet.
  • Brute-Force-Angriff– Diese Methode ähnelt dem Wörterbuchangriff. Brute-Force-Angriffe verwenden Algorithmen, die alphanumerische Zeichen und Symbole kombinieren, um Passwörter für den Angriff zu erstellen. Beispielsweise kann ein Passwort mit dem Wert „Passwort“ auch als p@$$Wort mit dem Brute-Force-Angriff ausprobiert werden.
  • Angriff auf den Regenbogentisch– Diese Methode verwendet vorberechnete Hashes. Nehmen wir an, dass wir eine Datenbank haben, die Passwörter als MD5-Hashes speichert. Wir können eine weitere Datenbank erstellen, die MD5-Hashes häufig verwendeter Passwörter enthält. Anschließend können wir den uns vorliegenden Passwort-Hash mit den in der Datenbank gespeicherten Hashes vergleichen. Wenn eine Übereinstimmung gefunden wird, haben wir das Passwort.
  • Guess – Wie der Name schon sagt, geht es bei dieser Methode um Raten. Passwörter wie qwerty, Passwort, Admin usw. werden häufig verwendet oder als Standardpasswörter festgelegt. Wenn sie nicht geändert wurden oder der Benutzer bei der Auswahl von Passwörtern nachlässig ist, können sie leicht kompromittiert werden.
  • Spinnen– Die meisten Organisationen verwenden Passwörter, die Unternehmensinformationen enthalten. Diese Informationen finden Sie auf Unternehmenswebsites, in sozialen Medien wie Facebook, Twitter usw. Spidering sammelt Informationen aus diesen Quellen, um Wortlisten zu erstellen. Die Wortliste wird dann verwendet, um Wörterbuch- und Brute-Force-Angriffe durchzuführen.

Spidering-Beispielwortliste für Wörterbuchangriffe

1976 <founder birth year>

smith jones <founder name>

acme <company name/initials>

built|to|last <words in company vision/mission>

golfing|chess|soccer <founders hobbies

Passwort-Cracker-Tools

Hierbei handelt es sich um Softwareprogramme, die zum Knacken von Benutzerkennwörtern verwendet werden. Ein ähnliches Tool haben wir uns bereits im obigen Beispiel zur Passwortstärke angesehen. Die Webseite http://www.md5this.com/ verwendet eine Regenbogentabelle, um Passwörter zu knacken. Wir werden uns nun einige der am häufigsten verwendeten Tools ansehen

1) John the Ripper

John the Ripper nutzt die Eingabeaufforderung, um Passwörter zu knacken. Dadurch eignet es sich für fortgeschrittene Benutzer, die mit Befehlen vertraut sind. Es verwendet eine Wortliste, um Passwörter zu knacken. Das Programm ist kostenlos, die Wortliste muss jedoch gekauft werden. Es verfügt über kostenlose alternative Wortlisten, die Sie verwenden können. Besuchen Sie die Produktwebsite https://www.openwall.com/john/ Weitere Informationen und die Verwendung finden Sie hier.

2) Cain & Abel

Cain & Abel läuft unter Windows. Es wird verwendet, um Passwörter für Benutzerkonten wiederherzustellen, Wiederherstellung von Microsoft Zugangskennwörter; Networking-Sniffing usw. Im Gegensatz dazu John the Ripper, Cain & Abel verwendet eine grafische Benutzeroberfläche. Es ist aufgrund seiner einfachen Bedienung bei Neulingen und Script-Kiddies sehr beliebt. Besuchen Sie die Produktwebsite https://sectools.org/tool/cain/ Weitere Informationen und die Verwendung finden Sie hier.

3) Ophcrack

Ophcrack ist plattformübergreifend Windows Passwort-Cracker, der Regenbogentabellen zum Knacken von Passwörtern verwendet. Es läuft weiter Windows, Linux und Mac OS. Es verfügt unter anderem auch über ein Modul für Brute-Force-Angriffe. Besuchen Sie die Produktwebsite https://ophcrack.sourceforge.io/ Weitere Informationen und die Verwendung finden Sie hier.

mSpy

Mit mspy, einer Keylogger-Anwendung, können Sie alle Wörter, die jemand eintippt, diskret beobachten, ohne physisch anwesend sein zu müssen. Mit diesem Tool können Sie jeden Tastendruck und jedes Tippen auf einem Gerät verfolgen und überwachen beliebte Chat-Apps wie WhatsApp, Instagram, Tinder, Snapchat und Viber. Sehen Sie sich mühelos alle Textnachrichten und Instant Messages an und nutzen Sie die integrierte GPS-Einheit mit Spuraufzeichnung um die Position eines Geräts zu lokalisieren.

Wie schützt man sich vor Passwort-Cracking-Angriffen?

  • Eine Organisation kann die folgenden Methoden verwenden, um die Wahrscheinlichkeit zu verringern, dass die Passwörter geknackt werden
  • Vermeiden Sie kurze und leicht vorhersehbare Passwörter
  • Vermeiden Sie die Verwendung von Passwörtern mit vorhersehbaren Mustern wie 11552266.
  • In der Datenbank gespeicherte Passwörter müssen immer verschlüsselt sein. Bei MD5-Verschlüsselungen ist es besser, die Passwort-Hashes vor dem Speichern zu salzen. Beim Salting wird dem bereitgestellten Passwort ein Wort hinzugefügt, bevor der Hash erstellt wird.
  • Die meisten Registrierungssysteme verfügen über Indikatoren für die Kennwortstärke. Unternehmen müssen Richtlinien einführen, die hohe Kennwortstärken bevorzugen.

Hacking-Aktivität: Jetzt hacken!

In diesem praktischen Szenario werden wir Folgendes tun Riss Windows Konto mit einem einfachen Passwort. Windows verwendet NTLM-Hashes, um Passwörter zu verschlüsseln. Dazu werden wir das NTLM-Cracker-Tool in Cain and Abel verwenden.

Mit dem Cain- und Abel-Cracker lassen sich Passwörter knacken.

In diesem Beispiel verwenden wir den Wörterbuchangriff. Sie müssen die Wortliste für den Wörterbuchangriff hier herunterladen 10k-Most-Common.zip

Für diese Demonstration haben wir ein Konto namens Accounts mit dem Passwort qwerty erstellt Windows 7.

Hacking-Aktivität

So knacken Sie ein Passwort

Schritt 1) Öffnen Sie Kain und Abel.

Sie erhalten den folgenden Hauptbildschirm

Knacken Sie ein Passwort

Schritt 2) Suchen Sie nach der Schaltfläche „Hinzufügen“.

Stellen Sie sicher, dass die Cracker-Registerkarte wie oben gezeigt ausgewählt ist, und klicken Sie auf die Schaltfläche „Hinzufügen“ in der Symbolleiste.

Knacken Sie ein Passwort

Schritt 3) Dialogfeld „Überprüfen“:

Das folgende Dialogfenster wird angezeigt. Importieren Sie lokale Benutzer und klicken Sie auf die Schaltfläche Weiter.

Knacken Sie ein Passwort

Schritt 4) Die lokalen Benutzerkonten werden wie folgt angezeigt.

Beachten Sie, dass die angezeigten Ergebnisse die Benutzerkonten auf Ihrem lokalen Computer betreffen.

Knacken Sie ein Passwort

Schritt 5) Klicken Sie mit der rechten Maustaste auf das Konto, das Sie knacken möchten.

Für dieses Tutorial verwenden wir Konten als Benutzerkonto.

Knacken Sie ein Passwort

Schritt 6) Überprüfen Sie den folgenden Bildschirm.

Klicken Sie mit der rechten Maustaste auf den Wörterbuchabschnitt und wählen Sie wie oben gezeigt das Menü „Zur Liste hinzufügen“ aus.

Knacken Sie ein Passwort

Schritt 7) Datei durchsuchen.

Navigieren Sie zu der Datei „most common.txt“ mit 10 KB, die Sie gerade heruntergeladen haben

Knacken Sie ein Passwort

Schritt 8) Überprüfen Sie die Ergebnisse.

Wenn der Benutzer ein einfaches Kennwort wie qwerty verwendet hat, sollten Sie die folgenden Ergebnisse erhalten.

Knacken Sie ein Passwort

  • Note: Die zum Knacken des Kennworts benötigte Zeit hängt von der Kennwortstärke, der Komplexität und der Verarbeitungsleistung Ihres Computers ab.
  • Wenn das Passwort nicht durch einen Wörterbuchangriff geknackt wird, können Sie Brute-Force- oder Kryptoanalyse-Angriffe versuchen.

Zusammenfassung

  • Beim Passwortknacken handelt es sich um die Kunst, gespeicherte oder übertragene Passwörter wiederherzustellen.
  • Die Kennwortstärke wird durch die Länge, Komplexität und Unvorhersehbarkeit eines Kennwortwerts bestimmt.
  • Zu den gängigen Passworttechniken gehören Wörterbuchangriffe, Brute Force, Rainbow Tables, Spidering und Cracking.
  • Tools zum Knacken von Passwörtern Vereinfachen Sie den Prozess des Knackens von Passwörtern.