Passwort-Cracker: Wie knackt (hackt) man ein Passwort?
Was ist Passwort-Cracking?
Beim Passwortknacken wird versucht, sich mithilfe gängiger Passwörter oder Algorithmen, die Passwörter erraten, unbefugten Zugriff auf eingeschränkte Systeme zu verschaffen. Mit anderen Worten: Es handelt sich um die Kunst, das richtige Passwort zu erhalten, das Zugriff auf ein durch eine Authentifizierungsmethode geschütztes System gewährt.
Beim Knacken von Passwörtern werden verschiedene Techniken eingesetzt, um seine Ziele zu erreichen. Der Knackvorgang kann entweder den Vergleich gespeicherter Passwörter mit einer Wortliste beinhalten oder Algorithmen verwenden, um Passwörter zu generieren, die übereinstimmen
In diesem Tutorial stellen wir Ihnen die gängigen Techniken zum Knacken von Passwörtern und die Gegenmaßnahmen vor, die Sie ergreifen können, um Systeme vor solchen Angriffen zu schützen.
Was ist Passwortstärke?
Die Passwortstärke ist das Maß für die Effizienz eines Passworts, Angriffen zum Knacken von Passwörtern zu widerstehen. Die Stärke eines Passworts wird bestimmt durch:
- Länge: die Anzahl der Zeichen, die das Passwort enthält.
- Komplexität: Wird eine Kombination aus Buchstaben, Zahlen und Symbolen verwendet?
- Unvorhersehbarkeit: Ist es etwas, das ein Angreifer leicht erraten kann?
Schauen wir uns nun ein praktisches Beispiel an. Wir werden nämlich drei Passwörter verwenden
1. Passwort
2. Passwort1
3. #passwort1$
In diesem Beispiel verwenden wir beim Erstellen von Passwörtern den Passwortstärkeindikator von Cpanel. Die folgenden Bilder zeigen die Passwortstärken der oben aufgeführten Passwörter.
Note: Das verwendete Passwort ist Passwort, die Stärke ist 1 und es ist sehr schwach.
Note: Das verwendete Passwort ist Passwort1, die Stärke beträgt 28 und es ist immer noch schwach.
Note: Das verwendete Passwort ist #password1$, die Stärke beträgt 60 und es ist stark.
Je höher die Stärkezahl, desto besser das Passwort.
Nehmen wir an, wir müssen unsere oben genannten Passwörter mit MD5-Verschlüsselung speichern. Wir werden ein Online verwenden MD5-Hash-Generator um unsere Passwörter in MD5-Hashes umzuwandeln.
Die folgende Tabelle zeigt die Passwort-Hashes
Passwort | MD5-Hashing | Cpanel-Stärkeindikator |
---|---|---|
Passwort |
5f4dcc3b5aa765d61d8327deb882cf99 |
1 |
password1 |
7c6a180b36896a0a8c02787eeafb0e4c |
28 |
#passwort1$ |
29e08fb7103c327d68327f23d8d9256c |
60 |
Wir werden jetzt verwenden http://www.md5this.com/
um die oben genannten Hashes zu knacken. Die folgenden Bilder zeigen die Ergebnisse des Passwortknackens für die oben genannten Passwörter.
Wie Sie den obigen Ergebnissen entnehmen können, konnten wir das erste und zweite Passwort mit niedrigerer Stärke knacken. Das dritte Passwort, das länger, komplexer und unvorhersehbar war, konnten wir nicht knacken. Es hatte eine höhere Stärke.
Techniken zum Knacken von Passwörtern
Es gibt eine Reihe von Techniken, mit denen sich Passwörter knacken lassen. Im Folgenden werden die am häufigsten verwendeten beschrieben.
- Wörterbuchangriff– Bei dieser Methode wird eine Wortliste zum Vergleich mit Benutzerkennwörtern verwendet.
- Brute-Force-Angriff– Diese Methode ähnelt dem Wörterbuchangriff. Brute-Force-Angriffe verwenden Algorithmen, die alphanumerische Zeichen und Symbole kombinieren, um Passwörter für den Angriff zu erstellen. Beispielsweise kann ein Passwort mit dem Wert „Passwort“ auch als p@$$Wort mit dem Brute-Force-Angriff ausprobiert werden.
- Angriff auf den Regenbogentisch– Diese Methode verwendet vorberechnete Hashes. Nehmen wir an, dass wir eine Datenbank haben, die Passwörter als MD5-Hashes speichert. Wir können eine weitere Datenbank erstellen, die MD5-Hashes häufig verwendeter Passwörter enthält. Anschließend können wir den uns vorliegenden Passwort-Hash mit den in der Datenbank gespeicherten Hashes vergleichen. Wenn eine Übereinstimmung gefunden wird, haben wir das Passwort.
- Guess – Wie der Name schon sagt, geht es bei dieser Methode um Raten. Passwörter wie qwerty, Passwort, Admin usw. werden häufig verwendet oder als Standardpasswörter festgelegt. Wenn sie nicht geändert wurden oder der Benutzer bei der Auswahl von Passwörtern nachlässig ist, können sie leicht kompromittiert werden.
- Spinnen– Die meisten Organisationen verwenden Passwörter, die Unternehmensinformationen enthalten. Diese Informationen finden Sie auf Unternehmenswebsites, in sozialen Medien wie Facebook, Twitter usw. Spidering sammelt Informationen aus diesen Quellen, um Wortlisten zu erstellen. Die Wortliste wird dann verwendet, um Wörterbuch- und Brute-Force-Angriffe durchzuführen.
Spidering-Beispielwortliste für Wörterbuchangriffe
1976 <founder birth year> smith jones <founder name> acme <company name/initials> built|to|last <words in company vision/mission> golfing|chess|soccer <founders hobbies
Passwort-Cracker-Tools
Hierbei handelt es sich um Softwareprogramme, die zum Knacken von Benutzerkennwörtern verwendet werden. Ein ähnliches Tool haben wir uns bereits im obigen Beispiel zur Passwortstärke angesehen. Die Webseite http://www.md5this.com/
verwendet eine Regenbogentabelle, um Passwörter zu knacken. Wir werden uns nun einige der am häufigsten verwendeten Tools ansehen
1) John the Ripper
John the Ripper nutzt die Eingabeaufforderung, um Passwörter zu knacken. Dadurch eignet es sich für fortgeschrittene Benutzer, die mit Befehlen vertraut sind. Es verwendet eine Wortliste, um Passwörter zu knacken. Das Programm ist kostenlos, die Wortliste muss jedoch gekauft werden. Es verfügt über kostenlose alternative Wortlisten, die Sie verwenden können. Besuchen Sie die Produktwebsite https://www.openwall.com/john/ Weitere Informationen und die Verwendung finden Sie hier.
2) Cain & Abel
Cain & Abel läuft unter Windows. Es wird verwendet, um Passwörter für Benutzerkonten wiederherzustellen, Wiederherstellung von Microsoft Zugangskennwörter; Networking-Sniffing usw. Im Gegensatz dazu John the Ripper, Cain & Abel verwendet eine grafische Benutzeroberfläche. Es ist aufgrund seiner einfachen Bedienung bei Neulingen und Script-Kiddies sehr beliebt. Besuchen Sie die Produktwebsite https://sectools.org/tool/cain/ Weitere Informationen und die Verwendung finden Sie hier.
3) Ophcrack
Ophcrack ist plattformübergreifend Windows Passwort-Cracker, der Regenbogentabellen zum Knacken von Passwörtern verwendet. Es läuft weiter Windows, Linux und Mac OS. Es verfügt unter anderem auch über ein Modul für Brute-Force-Angriffe. Besuchen Sie die Produktwebsite https://ophcrack.sourceforge.io/ Weitere Informationen und die Verwendung finden Sie hier.
mSpy
Mit mspy, einer Keylogger-Anwendung, können Sie alle Wörter, die jemand eintippt, diskret beobachten, ohne physisch anwesend sein zu müssen. Mit diesem Tool können Sie jeden Tastendruck und jedes Tippen auf einem Gerät verfolgen und überwachen beliebte Chat-Apps wie WhatsApp, Instagram, Tinder, Snapchat und Viber. Sehen Sie sich mühelos alle Textnachrichten und Instant Messages an und nutzen Sie die integrierte GPS-Einheit mit Spuraufzeichnung um die Position eines Geräts zu lokalisieren.
Wie schützt man sich vor Passwort-Cracking-Angriffen?
- Eine Organisation kann die folgenden Methoden verwenden, um die Wahrscheinlichkeit zu verringern, dass die Passwörter geknackt werden
- Vermeiden Sie kurze und leicht vorhersehbare Passwörter
- Vermeiden Sie die Verwendung von Passwörtern mit vorhersehbaren Mustern wie 11552266.
- In der Datenbank gespeicherte Passwörter müssen immer verschlüsselt sein. Bei MD5-Verschlüsselungen ist es besser, die Passwort-Hashes vor dem Speichern zu salzen. Beim Salting wird dem bereitgestellten Passwort ein Wort hinzugefügt, bevor der Hash erstellt wird.
- Die meisten Registrierungssysteme verfügen über Indikatoren für die Kennwortstärke. Unternehmen müssen Richtlinien einführen, die hohe Kennwortstärken bevorzugen.
Hacking-Aktivität: Jetzt hacken!
In diesem praktischen Szenario werden wir Folgendes tun Riss Windows Konto mit einem einfachen Passwort. Windows verwendet NTLM-Hashes, um Passwörter zu verschlüsseln. Dazu werden wir das NTLM-Cracker-Tool in Cain and Abel verwenden.
Mit dem Cain- und Abel-Cracker lassen sich Passwörter knacken.
- Wörterbuchangriff
- Brute-Force-
- Kryptoanalyse
In diesem Beispiel verwenden wir den Wörterbuchangriff. Sie müssen die Wortliste für den Wörterbuchangriff hier herunterladen 10k-Most-Common.zip
Für diese Demonstration haben wir ein Konto namens Accounts mit dem Passwort qwerty erstellt Windows 7.
So knacken Sie ein Passwort
Schritt 1) Öffnen Sie Kain und Abel.
Sie erhalten den folgenden Hauptbildschirm
Schritt 2) Suchen Sie nach der Schaltfläche „Hinzufügen“.
Stellen Sie sicher, dass die Cracker-Registerkarte wie oben gezeigt ausgewählt ist, und klicken Sie auf die Schaltfläche „Hinzufügen“ in der Symbolleiste.
Schritt 3) Dialogfeld „Überprüfen“:
Das folgende Dialogfenster wird angezeigt. Importieren Sie lokale Benutzer und klicken Sie auf die Schaltfläche Weiter.
Schritt 4) Die lokalen Benutzerkonten werden wie folgt angezeigt.
Beachten Sie, dass die angezeigten Ergebnisse die Benutzerkonten auf Ihrem lokalen Computer betreffen.
Schritt 5) Klicken Sie mit der rechten Maustaste auf das Konto, das Sie knacken möchten.
Für dieses Tutorial verwenden wir Konten als Benutzerkonto.
Schritt 6) Überprüfen Sie den folgenden Bildschirm.
Klicken Sie mit der rechten Maustaste auf den Wörterbuchabschnitt und wählen Sie wie oben gezeigt das Menü „Zur Liste hinzufügen“ aus.
Schritt 7) Datei durchsuchen.
Navigieren Sie zu der Datei „most common.txt“ mit 10 KB, die Sie gerade heruntergeladen haben
Schritt 8) Überprüfen Sie die Ergebnisse.
Wenn der Benutzer ein einfaches Kennwort wie qwerty verwendet hat, sollten Sie die folgenden Ergebnisse erhalten.
- Note: Die zum Knacken des Kennworts benötigte Zeit hängt von der Kennwortstärke, der Komplexität und der Verarbeitungsleistung Ihres Computers ab.
- Wenn das Passwort nicht durch einen Wörterbuchangriff geknackt wird, können Sie Brute-Force- oder Kryptoanalyse-Angriffe versuchen.
Zusammenfassung
- Beim Passwortknacken handelt es sich um die Kunst, gespeicherte oder übertragene Passwörter wiederherzustellen.
- Die Kennwortstärke wird durch die Länge, Komplexität und Unvorhersehbarkeit eines Kennwortwerts bestimmt.
- Zu den gängigen Passworttechniken gehören Wörterbuchangriffe, Brute Force, Rainbow Tables, Spidering und Cracking.
- Tools zum Knacken von Passwörtern Vereinfachen Sie den Prozess des Knackens von Passwörtern.