Provaljivač lozinki: Kako razbiti (hakirati) lozinku?

By: Oliver Jones Oliver Jones
Hours Ažurirano

Što je probijanje lozinki?

Probijanje lozinki je proces pokušaja dobivanja neovlaštenog pristupa ograničenim sustavima korištenjem uobičajenih lozinki ili algoritama koji pogađaju lozinke. Drugim riječima, umjetnost je dobivanja točne lozinke koja daje pristup sustavu zaštićenom metodom provjere autentičnosti.

Probijanje lozinki koristi niz tehnika za postizanje svojih ciljeva. Proces krekiranja može uključivati ​​ili usporedbu pohranjenih lozinki s popisom riječi ili upotrebu algoritama za generiranje lozinki koje se podudaraju

Lošenje lozinke

U ovom vodiču ćemo vas upoznati s uobičajenim tehnikama probijanja lozinki i protumjerama koje možete primijeniti za zaštitu sustava od takvih napada.

Što je jačina lozinke?

Snaga lozinke mjera je učinkovitosti lozinke da se odupre napadima za probijanje lozinke. Snagu lozinke određuju;

  • Dužina: broj znakova koje lozinka sadrži.
  • Složenost: koristi li kombinaciju slova, brojeva i simbola?
  • Nepredvidivo: je li to nešto što napadač može lako pogoditi?

Pogledajmo sada praktičan primjer. Koristit ćemo tri lozinke naime

1. lozinka

2. lozinka1

3. #lozinka1$

Za ovaj primjer, koristit ćemo indikator jačine lozinke na Cpanelu kada kreiramo lozinke. Slike u nastavku prikazuju snagu svake od gore navedenih lozinki.

Snaga lozinke

bilješke: lozinka koja se koristi je lozinka, snaga je 1 i vrlo je slaba.

Snaga lozinke

bilješke: lozinka koja se koristi je lozinka1, snaga je 28, i još uvijek je slaba.

Snaga lozinke

bilješke: Lozinka koja se koristi je #password1$, snaga je 60 i jaka je.

Što je veći broj snage, bolja je lozinka.

Pretpostavimo da moramo pohraniti gornje lozinke koristeći md5 enkripciju. Koristit ćemo online md5 hash generator da pretvorimo naše lozinke u md5 hashove.

Tablica u nastavku prikazuje hashove zaporki

Lozinka MD5 Hash Cpanel Indikator snage

lozinka

5f4dcc3b5aa765d61d8327deb882cf99

1

password1

7c6a180b36896a0a8c02787eeafb0e4c

28

#lozinka1$

29e08fb7103c327d68327f23d8d9256c

60

Sada ćemo koristiti http://www.md5this.com/ za razbijanje gore navedenih hashova. Slike u nastavku prikazuju rezultate razbijanja lozinki za gore navedene lozinke.

Rezultati razbijanja lozinki

Rezultati razbijanja lozinki

Rezultati razbijanja lozinki

Kao što možete vidjeti iz gornjih rezultata, uspjeli smo probiti prvu i drugu lozinku koje su imale niže vrijednosti. Treću lozinku koja je bila duža, složena i nepredvidiva nismo uspjeli probiti. Imao je veći broj čvrstoće.

POVEZANI ČLANCI

Tehnike razbijanja lozinki

Postoji niz tehnike koje se mogu koristiti za probijanje lozinki. U nastavku ćemo opisati najčešće korištene;

  • Napad na rječnik– Ova metoda uključuje korištenje popisa riječi za usporedbu s korisničkim lozinkama.
  • Napad grubom silom– Ova metoda je slična napadu rječnikom. Brute force napadi koriste algoritme koji kombiniraju alfanumeričke znakove i simbole kako bi došli do lozinki za napad. Na primjer, lozinka vrijednosti "password" također se može isprobati kao p@$$word korištenjem brute force napada.
  • Rainbow stol napad– Ova metoda koristi unaprijed izračunate hashove. Pretpostavimo da imamo bazu podataka koja pohranjuje lozinke kao md5 hashove. Možemo stvoriti drugu bazu podataka koja ima md5 hashove često korištenih lozinki. Zatim možemo usporediti hash lozinke koji imamo s hashovima pohranjenima u bazi podataka. Ako se pronađe podudaranje, onda imamo lozinku.
  • Nagađati– Kao što naziv govori, ova metoda uključuje pogađanje. Lozinke kao što su qwerty, lozinka, admin itd. često se koriste ili postavljaju kao zadane lozinke. Ako nisu promijenjene ili ako je korisnik nemaran pri odabiru lozinki, lako se mogu kompromitirati.
  • Spidering– Većina organizacija koristi lozinke koje sadrže informacije o tvrtki. Te se informacije mogu pronaći na web stranicama tvrtki, društvenim medijima poput facebooka, twittera itd. Spidering prikuplja informacije iz tih izvora kako bi došao do popisa riječi. Popis riječi se zatim koristi za izvođenje napada rječnikom i grubom silom.

Spidering popis riječi napada rječnika uzorka

1976 <founder birth year>

smith jones <founder name>

acme <company name/initials>

built|to|last <words in company vision/mission>

golfing|chess|soccer <founders hobbies

Alati za probijanje lozinki

To su softverski programi koji se koriste za probijanje korisničkih lozinki. Već smo pogledali sličan alat u gornjem primjeru o snazi ​​lozinke. Internet stranica http://www.md5this.com/ koristi duginu tablicu za razbijanje lozinki. Sada ćemo pogledati neke od često korištenih alata

1) John the Ripper

John the Ripper koristi naredbeni redak za probijanje lozinki. To ga čini prikladnim za napredne korisnike kojima je ugodno raditi s naredbama. Koristi se za popis riječi za probijanje lozinki. Program je besplatan, ali se popis riječi mora kupiti. Ima besplatne alternativne popise riječi koje možete koristiti. Posjetite web mjesto proizvoda https://www.openwall.com/john/ za više informacija i kako ga koristiti.

2) Cain & Abel

Cain & Abel radi na windowsima. Koristi se za oporavak lozinki za korisničke račune, oporavak Microsoft Lozinke za pristup; mrežno njuškanje itd. Za razliku od John the Ripper, Cain & Abel koristi grafičko korisničko sučelje. Vrlo je uobičajen među početnicima i klincima skriptama zbog svoje jednostavnosti upotrebe. Posjetite web mjesto proizvoda https://sectools.org/tool/cain/ za više informacija i kako ga koristiti.

3) Ophcrack

Ophcrack je višeplatformski Windows alat za razbijanje lozinki koji koristi dugine tablice za razbijanje lozinki. Radi dalje Windows, Linux i Mac OS. Među ostalim značajkama također ima modul za napade grubom silom. Posjetite web mjesto proizvoda https://ophcrack.sourceforge.io/ za više informacija i kako ga koristiti.

mSpy

Kontakt MSPY, keylogger aplikacija, možete diskretno promatrati sve riječi koje netko upisuje bez potrebe da budete fizički prisutni. Ovaj alat vam omogućuje da pratite svaki pritisak na tipku i dodir na uređaju, kao i monitor popularne aplikacije za chat kao što su WhatsApp, Instagram, Tinder, Snapchat i Viber. Bez napora pregledavajte sve tekstualne i izravne poruke i koristite ugrađeni GPS tracker za lociranje položaja uređaja.

Kako se zaštititi od napada za probijanje lozinki?

  • Organizacija može upotrijebiti sljedeće metode kako bi smanjila šanse da lozinke budu provaljene
  • Izbjegavajte kratke i lako predvidljive lozinke
  • Izbjegavajte korištenje lozinki s predvidljivim uzorcima kao što je 11552266.
  • Lozinke pohranjene u bazi podataka uvijek moraju biti šifrirane. Za md5 enkripcije, bolje je usoliti hashove zaporke prije pohranjivanja. Soliranje uključuje dodavanje neke riječi navedenoj lozinki prije stvaranja hasha.
  • Većina sustava za registraciju ima pokazatelje jačine lozinke, organizacije moraju usvojiti politike koje favoriziraju visoke brojke jačine lozinke.

Hakiranje: hakirajte sada!

U ovom praktičnom scenariju, mi ćemo prasak Windows račun s jednostavnom lozinkom. Windows koristi NTLM hashove za šifriranje lozinki. Za to ćemo koristiti NTLM kreker alat u Cain and Abel.

Cain i Abel kreker se može koristiti za probijanje lozinki pomoću;

U ovom ćemo primjeru koristiti napad rječnikom. Ovdje ćete morati preuzeti popis riječi napada rječnikom 10k-Most-Common.zip

Za ovu demonstraciju stvorili smo račun pod nazivom Računi s lozinkom qwerty on Windows 7.

Hakiranje

Kako razbiti lozinku

Korak 1) Otvori Cain i Abel.

dobit ćete sljedeći glavni zaslon

Provalite lozinku

Korak 2) Pronađite gumb Dodaj.

Provjerite je li kartica krekera odabrana kao što je prikazano gore i kliknite na gumb Dodaj na alatnoj traci.

Provalite lozinku

Korak 3) Provjerite dijaloški okvir.

Pojavit će se sljedeći dijaloški prozor. Uvezite lokalne korisnike i kliknite na sljedeći gumb.

Provalite lozinku

Korak 4) Lokalni korisnički računi bit će prikazani na sljedeći način.

Imajte na umu da će prikazani rezultati biti korisničkih računa na vašem lokalnom računalu.

Provalite lozinku

Korak 5) Kliknite desnom tipkom miša na račun koji želite provaliti.

Za ovaj vodič koristit ćemo račune kao korisnički račun.

Provalite lozinku

Korak 6) Provjerite ispod zaslona.

Desnom tipkom miša kliknite odjeljak rječnika i odaberite izbornik Dodaj na popis kao što je gore prikazano.

Provalite lozinku

Korak 7) Pregledaj datoteku.

Pregledajte datoteku 10k most common.txt koju ste upravo preuzeli

Provalite lozinku

Korak 8) Provjerite rezultate.

Ako je korisnik koristio jednostavnu lozinku kao što je qwerty, tada biste trebali moći dobiti sljedeće rezultate.

Provalite lozinku

  • bilješke: vrijeme potrebno za probijanje lozinke ovisi o snazi ​​lozinke, složenosti i procesorskoj snazi ​​vašeg stroja.
  • Ako lozinka nije probijena korištenjem napada rječnikom, možete isprobati napade grubom silom ili kriptoanalizu.

Rezime

  • Probijanje lozinki je umjetnost vraćanja pohranjenih ili prenesenih lozinki.
  • Snaga lozinke određena je duljinom, složenošću i nepredvidljivošću vrijednosti lozinke.
  • Uobičajene tehnike lozinki uključuju napade rječnikom, brutalnu silu, dugine tablice, spidering i krekiranje.
  • Alati za probijanje lozinki pojednostaviti proces razbijanja lozinki.