Password Cracker: Πώς να σπάσετε (hack) έναν κωδικό πρόσβασης;

Με: Ο Oliver Jones Ο Oliver Jones
Hours Ενημερώθηκε

Τι είναι το Password Cracking;

Η διάρρηξη κωδικού πρόσβασης είναι η διαδικασία απόπειρας απόκτησης μη εξουσιοδοτημένης πρόσβασης σε περιορισμένα συστήματα χρησιμοποιώντας κοινούς κωδικούς πρόσβασης ή αλγόριθμους που μαντεύουν κωδικούς πρόσβασης. Με άλλα λόγια, είναι μια τέχνη απόκτησης του σωστού κωδικού πρόσβασης που δίνει πρόσβαση σε ένα σύστημα που προστατεύεται από μια μέθοδο ελέγχου ταυτότητας.

Η διάρρηξη κωδικού πρόσβασης χρησιμοποιεί μια σειρά από τεχνικές για την επίτευξη των στόχων της. Η διαδικασία διάρρηξης μπορεί να περιλαμβάνει είτε σύγκριση αποθηκευμένων κωδικών πρόσβασης με λίστα λέξεων είτε χρήση αλγορίθμων για τη δημιουργία κωδικών πρόσβασης που ταιριάζουν

Σπάσιμο κωδικού πρόσβασης

Σε αυτό το σεμινάριο, θα σας παρουσιάσουμε τις κοινές τεχνικές διάρρηξης κωδικού πρόσβασης και τα αντίμετρα που μπορείτε να εφαρμόσετε για την προστασία των συστημάτων από τέτοιες επιθέσεις.

Τι είναι το Password Strength;

Η ισχύς του κωδικού πρόσβασης είναι το μέτρο της αποτελεσματικότητας ενός κωδικού πρόσβασης για την αντίσταση στις επιθέσεις διάρρηξης κωδικού πρόσβασης. Η ισχύς ενός κωδικού πρόσβασης καθορίζεται από:

  • Μήκος: ο αριθμός των χαρακτήρων που περιέχει ο κωδικός πρόσβασης.
  • Περίπλοκο: χρησιμοποιεί συνδυασμό γραμμάτων, αριθμών και συμβόλων;
  • Απρόβλεψη: είναι κάτι που μπορεί να μαντέψει εύκολα ένας επιθετικός;

Ας δούμε τώρα ένα πρακτικό παράδειγμα. Θα χρησιμοποιήσουμε τρεις κωδικούς πρόσβασης συγκεκριμένα

1. κωδικός πρόσβασης

2. κωδικός πρόσβασης1

3. #password1$

Για αυτό το παράδειγμα, θα χρησιμοποιήσουμε την ένδειξη ισχύος κωδικού πρόσβασης του Cpanel κατά τη δημιουργία κωδικών πρόσβασης. Οι παρακάτω εικόνες δείχνουν τα δυνατά σημεία του κωδικού πρόσβασης καθενός από τους παραπάνω κωδικούς πρόσβασης.

Ισχύς Κωδικού Πρόσβασης

Σημείωση: ο κωδικός που χρησιμοποιείται είναι κωδικός πρόσβασης, ο ισχυρός κωδικός είναι 1 και είναι πολύ αδύναμος.

Ισχύς Κωδικού Πρόσβασης

Σημείωση: ο κωδικός πρόσβασης που χρησιμοποιείται είναι κωδικός1, ο ισχυρός κωδικός είναι 28 και εξακολουθεί να είναι αδύναμος.

Ισχύς Κωδικού Πρόσβασης

Σημείωση: Ο κωδικός πρόσβασης που χρησιμοποιείται είναι #password1$ η ισχύς είναι 60 και είναι ισχυρός.

Όσο μεγαλύτερος είναι ο αριθμός ισχύος, τόσο καλύτερος είναι ο κωδικός πρόσβασης.

Ας υποθέσουμε ότι πρέπει να αποθηκεύσουμε τους παραπάνω κωδικούς πρόσβασης χρησιμοποιώντας κρυπτογράφηση md5. Θα χρησιμοποιήσουμε ένα διαδικτυακό md5 hash generator για να μετατρέψουμε τους κωδικούς μας σε hashes md5.

Ο παρακάτω πίνακας δείχνει τους κατακερματισμούς του κωδικού πρόσβασης

Κωδικός Πρόσβασης MD5 Hash Δείκτης αντοχής Cpanel

κωδικό πρόσβασης

5f4dcc3b5aa765d61d8327deb882cf99

1

κωδικό1

7c6a180b36896a0a8c02787eeafb0e4c

28

#password1$

29e08fb7103c327d68327f23d8d9256c

60

Τώρα θα χρησιμοποιήσουμε http://www.md5this.com/ για να σπάσει τα παραπάνω hashes. Οι παρακάτω εικόνες δείχνουν τα αποτελέσματα διάρρηξης κωδικού πρόσβασης για τους παραπάνω κωδικούς πρόσβασης.

Αποτελέσματα διάρρηξης κωδικού πρόσβασης

Αποτελέσματα διάρρηξης κωδικού πρόσβασης

Αποτελέσματα διάρρηξης κωδικού πρόσβασης

Όπως μπορείτε να δείτε από τα παραπάνω αποτελέσματα, καταφέραμε να σπάσουμε τον πρώτο και τον δεύτερο κωδικό πρόσβασης που είχαν χαμηλότερους αριθμούς ισχύος. Δεν καταφέραμε να σπάσουμε τον τρίτο κωδικό πρόσβασης που ήταν μεγαλύτερος, περίπλοκος και απρόβλεπτος. Είχε μεγαλύτερο αριθμό αντοχής.

ΣΧΕΤΙΚΑ ΑΡΘΡΑ

Τεχνικές διάρρηξης κωδικού πρόσβασης

Υπάρχουν ένας αριθμός τεχνικές που μπορούν να χρησιμοποιηθούν για την παραβίαση κωδικών πρόσβασης. Θα περιγράψουμε τα πιο συχνά χρησιμοποιούμενα παρακάτω.

  • Λεξικό επίθεση– Αυτή η μέθοδος περιλαμβάνει τη χρήση μιας λίστας λέξεων για σύγκριση με τους κωδικούς πρόσβασης χρηστών.
  • Βίαιη επίθεση– Αυτή η μέθοδος είναι παρόμοια με την επίθεση λεξικού. Οι επιθέσεις ωμής βίας χρησιμοποιούν αλγόριθμους που συνδυάζουν αλφαριθμητικούς χαρακτήρες και σύμβολα για να βρουν κωδικούς πρόσβασης για την επίθεση. Για παράδειγμα, ένας κωδικός πρόσβασης με την τιμή "password" μπορεί επίσης να δοκιμαστεί ως p@$$word χρησιμοποιώντας την επίθεση brute force.
  • Επίθεση στο τραπέζι του ουράνιου τόξου– Αυτή η μέθοδος χρησιμοποιεί προ-υπολογισμένους κατακερματισμούς. Ας υποθέσουμε ότι έχουμε μια βάση δεδομένων που αποθηκεύει τους κωδικούς πρόσβασης ως hashes md5. Μπορούμε να δημιουργήσουμε μια άλλη βάση δεδομένων που έχει md5 κατακερματισμούς των κοινών κωδικών πρόσβασης. Στη συνέχεια, μπορούμε να συγκρίνουμε τον κατακερματισμό κωδικού πρόσβασης που έχουμε με τους αποθηκευμένους κατακερματισμούς στη βάση δεδομένων. Εάν βρεθεί αντιστοιχία, τότε έχουμε τον κωδικό πρόσβασης.
  • Guess– Όπως υποδηλώνει το όνομα, αυτή η μέθοδος περιλαμβάνει την εικασία. Οι κωδικοί πρόσβασης όπως qwerty, κωδικός πρόσβασης, διαχειριστής κ.λπ. χρησιμοποιούνται συνήθως ή ορίζονται ως προεπιλεγμένοι κωδικοί πρόσβασης. Εάν δεν έχουν αλλάξει ή εάν ο χρήστης είναι απρόσεκτος κατά την επιλογή των κωδικών πρόσβασης, τότε μπορούν εύκολα να παραβιαστούν.
  • Spidering– Οι περισσότεροι οργανισμοί χρησιμοποιούν κωδικούς πρόσβασης που περιέχουν πληροφορίες εταιρείας. Αυτές οι πληροφορίες μπορούν να βρεθούν σε ιστότοπους εταιρειών, μέσα κοινωνικής δικτύωσης όπως facebook, twitter κ.λπ. Το Spidering συλλέγει πληροφορίες από αυτές τις πηγές για να καταλήξει σε λίστες λέξεων. Στη συνέχεια, η λίστα λέξεων χρησιμοποιείται για την εκτέλεση επιθέσεων λεξικού και ωμής βίας.

Λίστα λέξεων επίθεσης δείγματος λεξικού Spidering

1976 <founder birth year>

smith jones <founder name>

acme <company name/initials>

built|to|last <words in company vision/mission>

golfing|chess|soccer <founders hobbies

Εργαλεία πυρόλυσης κωδικών πρόσβασης

Πρόκειται για προγράμματα λογισμικού που χρησιμοποιούνται για την παραβίαση κωδικών πρόσβασης χρηστών. Έχουμε ήδη εξετάσει ένα παρόμοιο εργαλείο στο παραπάνω παράδειγμα σχετικά με τα δυνατά σημεία κωδικού πρόσβασης. Η ιστοσελίδα http://www.md5this.com/ χρησιμοποιεί έναν πίνακα ουράνιου τόξου για να σπάσει κωδικούς πρόσβασης. Θα δούμε τώρα μερικά από τα εργαλεία που χρησιμοποιούνται συνήθως

1) John the Ripper

John the Ripper χρησιμοποιεί τη γραμμή εντολών για να σπάσει κωδικούς πρόσβασης. Αυτό το καθιστά κατάλληλο για προχωρημένους χρήστες που αισθάνονται άνετα να εργάζονται με εντολές. Χρησιμοποιείται στη λίστα λέξεων για να σπάσει κωδικούς πρόσβασης. Το πρόγραμμα είναι δωρεάν, αλλά η λίστα λέξεων πρέπει να αγοραστεί. Διαθέτει δωρεάν εναλλακτικές λίστες λέξεων που μπορείτε να χρησιμοποιήσετε. Επισκεφθείτε τον ιστότοπο του προϊόντος https://www.openwall.com/john/ για περισσότερες πληροφορίες και πώς να το χρησιμοποιήσετε.

2) Cain & Abel

Cain & Abel τρέχει σε παράθυρα. Χρησιμοποιείται για την ανάκτηση κωδικών πρόσβασης για λογαριασμούς χρηστών, ανάκτηση Microsoft Κωδικοί πρόσβασης. δικτύωση σνιφάρισμα κλπ. Αντίθετα John the Ripper, Cain & Abel χρησιμοποιεί μια γραφική διεπαφή χρήστη. Είναι πολύ κοινό μεταξύ των αρχάριων και των μικρών σεναρίων λόγω της απλότητας χρήσης του. Επισκεφθείτε τον ιστότοπο του προϊόντος https://sectools.org/tool/cain/ για περισσότερες πληροφορίες και πώς να το χρησιμοποιήσετε.

3) Οφκρακ

Το Ophcrack είναι ένα cross-platform Windows κροτίδα κωδικών πρόσβασης που χρησιμοποιεί πίνακες ουράνιου τόξου για να σπάσει κωδικούς πρόσβασης. Λειτουργεί Windows, Linux και Mac OS. Διαθέτει επίσης μια μονάδα για επιθέσεις ωμής βίας μεταξύ άλλων χαρακτηριστικών. Επισκεφθείτε τον ιστότοπο του προϊόντος https://ophcrack.sourceforge.io/ για περισσότερες πληροφορίες και πώς να το χρησιμοποιήσετε.

mSpy

Με mspy, μια εφαρμογή keylogger, μπορείτε να παρατηρήσετε διακριτικά όλες τις λέξεις που γράφει κάποιος χωρίς να χρειάζεται να είστε φυσικά παρόντες. Αυτό το εργαλείο σάς επιτρέπει να παρακολουθείτε κάθε πάτημα πλήκτρων και να πατάτε σε μια συσκευή, καθώς και στην οθόνη δημοφιλείς εφαρμογές συνομιλίας όπως WhatsApp, Instagram, Tinder, Snapchat και Viber. Προβάλετε εύκολα όλα τα μηνύματα κειμένου και τα άμεσα μηνύματα και χρησιμοποιήστε το ενσωματωμένο GPS tracker για να εντοπίσετε τη θέση μιας συσκευής.

Πώς να προστατευτείτε από επιθέσεις διάρρηξης κωδικού πρόσβασης;

  • Ένας οργανισμός μπορεί να χρησιμοποιήσει τις ακόλουθες μεθόδους για να μειώσει τις πιθανότητες να σπάσουν οι κωδικοί πρόσβασης
  • Αποφύγετε σύντομους και εύκολα προβλέψιμους κωδικούς πρόσβασης
  • Αποφύγετε τη χρήση κωδικών πρόσβασης με προβλέψιμα μοτίβα όπως το 11552266.
  • Οι κωδικοί πρόσβασης που είναι αποθηκευμένοι στη βάση δεδομένων πρέπει πάντα να είναι κρυπτογραφημένοι. Για κρυπτογραφήσεις md5, είναι καλύτερο να αλατίσετε τα κατακερματισμένα στοιχεία κωδικού πρόσβασης πριν τα αποθηκεύσετε. Το αλάτισμα περιλαμβάνει την προσθήκη κάποιας λέξης στον παρεχόμενο κωδικό πρόσβασης πριν από τη δημιουργία του κατακερματισμού.
  • Τα περισσότερα συστήματα εγγραφής διαθέτουν δείκτες ισχύος κωδικού πρόσβασης, οι οργανισμοί πρέπει να υιοθετήσουν πολιτικές που ευνοούν τους υψηλούς αριθμούς ισχύος κωδικού πρόσβασης.

Hacking Activity: Hack Now!

Σε αυτό το πρακτικό σενάριο, πρόκειται να ρωγμή Windows λογαριασμό με έναν απλό κωδικό πρόσβασης. Windows χρησιμοποιεί κατακερματισμούς NTLM για την κρυπτογράφηση κωδικών πρόσβασης. Θα χρησιμοποιήσουμε το εργαλείο κράκερ NTLM στο Cain and Abel για να το κάνουμε αυτό.

Το κράκερ Cain και Abel μπορεί να χρησιμοποιηθεί για να σπάσει κωδικούς πρόσβασης χρησιμοποιώντας:

Θα χρησιμοποιήσουμε την επίθεση λεξικού σε αυτό το παράδειγμα. Θα χρειαστεί να κατεβάσετε τη λίστα λέξεων επίθεσης λεξικού εδώ 10k-Most-Common.zip

Για αυτήν την επίδειξη, δημιουργήσαμε έναν λογαριασμό που ονομάζεται Accounts με τον κωδικό πρόσβασης qwerty ενεργοποιημένο Windows 7.

Δραστηριότητα Hacking

Πώς να σπάσετε έναν κωδικό πρόσβασης

Βήμα 1) Ανοίξτε τον Κάιν και τον Άβελ.

θα εμφανιστεί η ακόλουθη κύρια οθόνη

Σπάσε έναν κωδικό πρόσβασης

Βήμα 2) Κουμπί Εύρεση Προσθήκης.

Βεβαιωθείτε ότι η καρτέλα cracker είναι επιλεγμένη όπως φαίνεται παραπάνω και κάντε κλικ στο κουμπί Προσθήκη στη γραμμή εργαλείων.

Σπάσε έναν κωδικό πρόσβασης

Βήμα 3) Επιλέξτε το πλαίσιο διαλόγου.

Θα εμφανιστεί το ακόλουθο παράθυρο διαλόγου. Εισαγάγετε τοπικούς χρήστες και κάντε κλικ στο κουμπί επόμενο.

Σπάσε έναν κωδικό πρόσβασης

Βήμα 4) Οι τοπικοί λογαριασμοί χρηστών θα εμφανίζονται ως εξής.

Σημειώστε ότι τα αποτελέσματα που εμφανίζονται θα αφορούν τους λογαριασμούς χρηστών στον τοπικό σας υπολογιστή.

Σπάσε έναν κωδικό πρόσβασης

Βήμα 5) Κάντε δεξί κλικ στον λογαριασμό που θέλετε να σπάσετε.

Για αυτό το σεμινάριο, θα χρησιμοποιήσουμε τους λογαριασμούς ως λογαριασμό χρήστη.

Σπάσε έναν κωδικό πρόσβασης

Βήμα 6) Ελέγξτε την παρακάτω οθόνη.

Κάντε δεξί κλικ στην ενότητα λεξικού και επιλέξτε Προσθήκη στη λίστα μενού όπως φαίνεται παραπάνω.

Σπάσε έναν κωδικό πρόσβασης

Βήμα 7) Περιήγηση αρχείου.

Περιηγηθείτε στο 10 πιο συνηθισμένο αρχείο.txt που μόλις κατεβάσατε

Σπάσε έναν κωδικό πρόσβασης

Βήμα 8) Ελέγξτε τα αποτελέσματα.

Εάν ο χρήστης χρησιμοποίησε έναν απλό κωδικό πρόσβασης όπως το qwerty, τότε θα πρέπει να μπορείτε να λάβετε τα ακόλουθα αποτελέσματα.

Σπάσε έναν κωδικό πρόσβασης

  • Σημείωση: ο χρόνος που χρειάζεται για να σπάσει ο κωδικός πρόσβασης εξαρτάται από την ισχύ του κωδικού πρόσβασης, την πολυπλοκότητα και την επεξεργαστική ισχύ του μηχανήματός σας.
  • Εάν ο κωδικός πρόσβασης δεν έχει σπάσει χρησιμοποιώντας επίθεση λεξικού, μπορείτε να δοκιμάσετε επιθέσεις ωμής βίας ή κρυπτανάλυσης.

Σύνοψη

  • Το σπάσιμο κωδικού πρόσβασης είναι η τέχνη της ανάκτησης αποθηκευμένων ή μεταδιδόμενων κωδικών πρόσβασης.
  • Η ισχύς του κωδικού πρόσβασης καθορίζεται από το μήκος, την πολυπλοκότητα και την απρόβλεπτη τιμή μιας τιμής κωδικού πρόσβασης.
  • Οι κοινές τεχνικές κωδικών πρόσβασης περιλαμβάνουν επιθέσεις λεξικών, ωμή δύναμη, πίνακες ουράνιου τόξου, spidering και σπασίματα.
  • Εργαλεία διάρρηξης κωδικών πρόσβασης απλοποίηση της διαδικασίας διάρρηξης κωδικών πρόσβασης.

Μπορεί να σας αρέσει: