Paroolimurdja: kuidas parooli murda (häkkida)?

Autor: Oliver Jones Oliver Jones
Hours Ajakohastatud

Mis on paroolimurdmine?

Paroolimurdmine on protsess, mille käigus üritatakse saada volitamata juurdepääsu piiratud süsteemidele, kasutades tavalisi paroole või paroole ära arvavaid algoritme. Teisisõnu, see on õige parooli hankimise kunst, mis annab juurdepääsu autentimismeetodiga kaitstud süsteemile.

Paroolimurdmine kasutab oma eesmärkide saavutamiseks mitmeid tehnikaid. Murdmisprotsess võib hõlmata kas salvestatud paroolide võrdlemist sõnaloendiga või kasutada algoritme sobivate paroolide genereerimiseks

Parooli krakkimine

Selles õpetuses tutvustame teile levinud paroolimurdmise tehnikaid ja vastumeetmeid, mida saate rakendada süsteemide kaitsmiseks selliste rünnakute eest.

Mis on parooli tugevus?

Parooli tugevus mõõdab parooli tõhusust paroolimurdmise rünnakutele vastu seista. Parooli tugevuse määrab;

  • Pikkus: paroolis sisalduvate märkide arv.
  • Keerukus: kas see kasutab tähtede, numbrite ja sümboli kombinatsiooni?
  • Ettearvamatus: kas see on midagi, mida ründaja võib kergesti ära arvata?

Vaatame nüüd praktilist näidet. Me kasutame nimelt kolme parooli

1. parool

2. parool1

3. #password1$

Selle näite puhul kasutame paroolide loomisel Cpaneli parooli tugevuse indikaatorit. Allolevatel piltidel on näidatud kõigi ülalloetletud paroolide paroolitugevused.

Salasõna tugevus

märkused: kasutatav parool on parool, mille tugevus on 1 ja see on väga nõrk.

Salasõna tugevus

märkused: kasutatav parool on password1, tugevus on 28 ja see on endiselt nõrk.

Salasõna tugevus

märkused: Kasutatud parool on #password1$, tugevus on 60 ja see on tugev.

Mida suurem on tugevusarv, seda parem on parool.

Oletame, et peame ülaltoodud paroolid salvestama md5 krüptimist kasutades. Kasutame veebipõhist md5 räsigeneraator et teisendada meie paroolid md5 räsideks.

Allolev tabel näitab parooliräsi

Parool MD5 räsi C-paneeli tugevusnäidik

parool

5f4dcc3b5aa765d61d8327deb882cf99

1

password1

7c6a180b36896a0a8c02787eeafb0e4c

28

#parool1$

29e08fb7103c327d68327f23d8d9256c

60

Nüüd hakkame kasutama http://www.md5this.com/ ülaltoodud räsi purustamiseks. Allolevatel piltidel on näidatud ülaltoodud paroolide paroolimurdmise tulemused.

Parooli murdmise tulemused

Parooli murdmise tulemused

Parooli murdmise tulemused

Nagu ülaltoodud tulemustest näha, õnnestus meil murda esimene ja teine ​​parool, mille tugevusnumbrid olid väiksemad. Meil ei õnnestunud purustada kolmandat parooli, mis oli pikem, keeruline ja ettearvamatu. Sellel oli suurem tugevusnumber.

SEOTUD ARTIKLID

Parooli murdmise tehnikad

On mitmeid tehnikaid, mida saab kasutada paroolide murdmiseks. Allpool kirjeldame kõige sagedamini kasutatavaid;

  • Sõnaraamatu rünnak– See meetod hõlmab sõnaloendi kasutamist kasutaja paroolidega võrdlemiseks.
  • Toore jõu rünnak– See meetod sarnaneb sõnaraamaturünnakuga. Jõhja jõu rünnakud kasutavad algoritme, mis kombineerivad tähtnumbrilisi märke ja sümboleid, et leida rünnaku jaoks paroolid. Näiteks parooli väärtusega “password” saab proovida ka sõnana p@$$word, kasutades toore jõu rünnakut.
  • Vikerkaarelaua rünnak– See meetod kasutab eelarvutatud räsi. Oletame, et meil on andmebaas, mis salvestab paroolid md5 räsidena. Saame luua teise andmebaasi, mis sisaldab sageli kasutatavate paroolide md5 räsi. Seejärel saame võrrelda meil olevat parooliräsi ja andmebaasi salvestatud räsi. Kui vaste leitakse, on meil parool.
  • Arva– Nagu nimigi ütleb, hõlmab see meetod arvamist. Tavaliselt kasutatakse või seatakse vaikeparoolideks sellised paroolid nagu qwerty, password, admin jne. Kui neid pole muudetud või kui kasutaja on paroolide valikul hooletu, võivad need kergesti ohtu sattuda.
  • Ämbliklooming– Enamik organisatsioone kasutab ettevõtteteavet sisaldavaid paroole. Seda teavet võib leida ettevõtete veebisaitidelt, sotsiaalmeediast, nagu facebook, twitter jne. Spidering kogub nendest allikatest teavet, et koostada sõnaloendeid. Sõnaloendit kasutatakse seejärel sõnaraamatu ja jõhkra jõu rünnakute sooritamiseks.

Spidering näidissõnastiku ründesõnaloend

1976 <founder birth year>

smith jones <founder name>

acme <company name/initials>

built|to|last <words in company vision/mission>

golfing|chess|soccer <founders hobbies

Paroolimurdmise tööriistad

Need on tarkvaraprogrammid, mida kasutatakse kasutajate paroolide purustamiseks. Vaatasime juba sarnast tööriista ülaltoodud parooli tugevuste näites. Veebileht http://www.md5this.com/ kasutab paroolide purustamiseks vikerkaare tabelit. Vaatame nüüd mõnda sagedamini kasutatavat tööriista

1) John the Ripper

John the Ripper kasutab paroolide purustamiseks käsurealt. See muudab selle sobivaks kogenud kasutajatele, kes tunnevad mugavalt käskudega töötamist. See kasutab paroolide purustamiseks sõnaloendit. Programm on tasuta, kuid sõnaloend tuleb osta. Sellel on tasuta alternatiivsed sõnaloendid, mida saate kasutada. Külastage toote veebisaiti https://www.openwall.com/john/ lisateabe saamiseks ja selle kasutamiseks.

2) Cain & Abel

Cain & Abel töötab akendel. Seda kasutatakse kasutajakontode paroolide taastamiseks, taastamiseks Microsoft Juurdepääsu paroolidele; võrgustiku nuusutamine jne Erinevalt John the Ripper, Cain & Abel kasutab graafilist kasutajaliidest. See on kasutuslihtsuse tõttu väga levinud algajate ja stsenaariumite seas. Külastage toote veebisaiti https://sectools.org/tool/cain/ lisateabe saamiseks ja selle kasutamiseks.

3) Ophcrack

Ophcrack on platvormideülene Windows paroolimurdja, mis kasutab paroolide purustamiseks vikerkaaretabeleid. See jookseb edasi Windows, Linux ja Mac OS. Sellel on muude funktsioonide hulgas ka moodul jõhkra jõu rünnakute jaoks. Külastage toote veebisaiti https://ophcrack.sourceforge.io/ lisateabe saamiseks ja selle kasutamiseks.

mSpy

koos MsPyar, klahvilogija rakendus, saate diskreetselt jälgida kõiki sõnu, mida keegi sisestab, ilma et peaksite füüsiliselt kohal olema. See tööriist võimaldab teil jälgida iga klahvivajutust ja seadme puudutamist, samuti monitori populaarsed vestlusrakendused nagu WhatsApp, Instagram, Tinder, Snapchat ja Viber. Vaadake hõlpsalt kõiki tekstsõnumeid ja kiirsõnumeid ning kasutage sisseehitatud funktsiooni GPS jälgija seadme asukoha leidmiseks.

Kuidas kaitsta end paroolimurdmise rünnakute eest?

  • Organisatsioon saab paroolide murdmise tõenäosuse vähendamiseks kasutada järgmisi meetodeid
  • Vältige lühikesi ja kergesti ennustatavaid paroole
  • Vältige ennustatavate mustritega paroolide kasutamist, näiteks 11552266.
  • Andmebaasi salvestatud paroolid peavad alati olema krüptitud. Md5 krüptimise puhul on parem parooliräsid enne nende salvestamist soolata. Soolamine hõlmab mõne sõna lisamist antud paroolile enne räsi loomist.
  • Enamikul registreerimissüsteemidel on parooli tugevusnäitajad, organisatsioonid peavad vastu võtma poliitikad, mis soosivad kõrgeid paroolitugevuse numbreid.

Häkkimistegevus: häkkige kohe!

Selle praktilise stsenaariumi korral me kavatseme pragu Windows konto lihtsa parooliga. Windows kasutab paroolide krüptimiseks NTLM-räsi. Selleks kasutame Cainis ja Abelis NTLM-i krakkimistööriista.

Cain ja Abel krakkerit saab kasutada paroolide purustamiseks;

Selles näites kasutame sõnastikurünnakut. Peate siit alla laadima sõnastiku rünnakute sõnaloendi 10 XNUMX kõige levinumat.zip

Selle demonstratsiooni jaoks oleme loonud konto nimega Kontod, mille parool on sisse lülitatud qwerty Windows 7.

Häkkimistegevus

Kuidas parooli murda

Step 1) Avage Kain ja Aabel.

kuvatakse järgmine põhiekraan

Murdke parool lahti

Step 2) Leidke nupp Lisa.

Veenduge, et kreekeri vahekaart oleks valitud, nagu ülal näidatud, ja klõpsake tööriistaribal nuppu Lisa.

Murdke parool lahti

Step 3) Kontrolli dialoogiboksi.

Ilmub järgmine dialoogiaken. Importige kohalikud kasutajad ja klõpsake nuppu Järgmine.

Murdke parool lahti

Step 4) Kohalikud kasutajakontod kuvatakse järgmiselt.

Pange tähele, et kuvatavad tulemused on teie kohaliku masina kasutajakontode kohta.

Murdke parool lahti

Step 5) Paremklõpsake kontol, mida soovite murda.

Selle õpetuse jaoks kasutame kasutajakontona kontosid.

Murdke parool lahti

Step 6) Kontrollige allolevat ekraani.

Paremklõpsake sõnastiku jaotist ja valige menüü Lisa loendisse, nagu ülal näidatud.

Murdke parool lahti

Step 7) Sirvi faili.

Sirvige 10 XNUMX kõige levinumat.txt-faili, mille just alla laadisite

Murdke parool lahti

Step 8) Kontrolli tulemusi.

Kui kasutaja kasutas lihtsat parooli, näiteks qwerty, peaksite saama järgmised tulemused.

Murdke parool lahti

  • märkused: parooli purustamiseks kuluv aeg sõltub parooli tugevusest, keerukusest ja teie masina töötlemisvõimsusest.
  • Kui parooli ei murrata sõnaraamaturünnaku abil, võite proovida toore jõu või krüptoanalüüsi rünnakuid.

kokkuvõte

  • Paroolide murdmine on salvestatud või edastatud paroolide taastamise kunst.
  • Parooli tugevuse määrab parooli väärtuse pikkus, keerukus ja ettearvamatus.
  • Levinud paroolitehnikad hõlmavad sõnaraamaturünnakuid, jõhkrat jõudu, vikerkaaretabeleid, spideringi ja krakkimist.
  • Parooli murdmise tööriistad lihtsustada paroolide murdmise protsessi.