パスワードクラッカー: パスワードをクラック (ハッキング) する方法は?

パスワードクラッキングとは何ですか?

パスワードクラッキングとは、一般的なパスワードやパスワードを推測するアルゴリズムを使用して、制限されたシステムへの不正アクセスを試みるプロセスです。言い換えれば、認証方法で保護されたシステムにアクセスするための正しいパスワードを取得する技術です。

パスワードクラッキングは、その目的を達成するためにいくつかの技術を採用しています。クラッキングプロセスには、保存されたパスワードを単語リストと比較するか、アルゴリズムを使用して一致するパスワードを生成することが含まれます。

このチュートリアルでは、一般的なパスワードクラッキング手法と、そのような攻撃からシステムを保護するために実装できる対策を紹介します。

パスワードの強度とは何ですか?

パスワード強度は、パスワードクラッキング攻撃に対するパスワードの効率の尺度です。。パスワードの強度は次の要素によって決まります。

長さ: パスワードに含まれる文字数。
複雑: 文字、数字、記号の組み合わせを使用していますか?
予測不可能性：攻撃者が簡単に推測できるものですか？

それでは実際の例を見てみましょう。 XNUMX つのパスワードを使用します。

1。 password

2.パスワード1

3. #パスワード1$

この例では、パスワードを作成するときに Cpanel のパスワード強度インジケーターを使用します。以下の画像は、上記の各パスワードのパスワード強度を示しています。

注意: 使用されるパスワードはパスワードであり、強度は 1 であり、非常に弱いです。

注意: 使用されるパスワードはpassword1、強度は28ですが、まだ弱いです。

注意: 使用されたパスワードは #password1$ で、強度は 60 と強力です。

強度の数値が大きいほど、パスワードはより優れています。

上記のパスワードを md5 暗号化を使用して保存する必要があると仮定します。オンラインを使用します md5ハッシュジェネレータパスワードを md5 ハッシュに変換します。

以下の表はパスワードのハッシュを示しています

パスワード	MD5ハッシュ	Cパネル強度インジケーター
password	5f4dcc3b5aa765d61d8327deb882cf99	1
password1	7c6a180b36896a0a8c02787eeafb0e4c	28
#パスワード1$	29e08fb7103c327d68327f23d8d9256c	60

これから使用します http://www.md5this.com/ 上記のハッシュを解読します。以下の画像は、上記のパスワードのパスワードクラッキング結果を示しています。

上記の結果からわかるように、強度の数値が低い 1 番目と 2 番目のパスワードは解読できました。強度の数値が高い、より長く、複雑で、予測不可能な 3 番目のパスワードは解読できませんでした。

パスワードクラッキング手法

がいくつかあります パスワードを解読するために使用できるテクニック。最も一般的に使用されるものについては以下で説明します。

辞書攻撃– この方法では、ワードリストを使用してユーザーのパスワードと比較します。
ブルートフォース攻撃– この方法は辞書攻撃に似ています。ブルートフォース攻撃では、英数字と記号を組み合わせたアルゴリズムを使用して攻撃用のパスワードを作成します。たとえば、値「password」のパスワードは、ブルートフォース攻撃を使用して p@$$word として試すこともできます。
レインボーテーブル攻撃– この方法では、事前に計算されたハッシュが使用されます。パスワードを md5 ハッシュとして保存するデータベースがあると仮定しましょう。一般的に使用されるパスワードの md5 ハッシュを含む別のデータベースを作成できます。次に、取得したパスワードハッシュをデータベースに保存されているハッシュと比較できます。一致するものが見つかった場合、パスワードがわかります。
推測– 名前が示すように、この方法には推測が含まれます。 qwerty、password、admin などのパスワードが一般的に使用されるか、デフォルトのパスワードとして設定されます。パスワードが変更されていない場合、またはユーザーがパスワードを選択する際に不注意である場合、パスワードは簡単に侵害される可能性があります。
スパイダリング– ほとんどの組織は、会社情報を含むパスワードを使用しています。この情報は、企業の Web サイト、Facebook、twitter などのソーシャルメディアで見つけることができます。Spidering はこれらの情報源から情報を収集し、単語リストを作成します。その後、単語リストは辞書攻撃とブルートフォース攻撃の実行に使用されます。

スパイダーイングサンプル辞書攻撃ワードリスト

1976 <founder birth year>

smith jones <founder name>

acme <company name/initials>

built|to|last <words in company vision/mission>

golfing|chess|soccer <founders hobbies

パスワードクラッカーツール

これらは、ユーザーのパスワードを解読するために使用されるソフトウェアプログラムです。。パスワードの強度については、上記の例で同様のツールをすでに確認しました。ウェブサイト http://www.md5this.com/ レインボーテーブルを使用してパスワードを解読します。次に、一般的に使用されるツールのいくつかを見ていきます

1) John the Ripper

John the Ripper コマンドプロンプトを使用してパスワードを解析します。そのため、コマンドの操作に慣れている上級ユーザーに適しています。ワードリストを使用してパスワードを解読します。プログラムは無料ですが、単語リストを購入する必要があります。無料で使用できる代替単語リストがあります。製品ウェブサイトにアクセスしてください https://www.openwall.com/john/ 詳細と使用方法については、こちらをご覧ください。

2) Cain & Abel

Cain & Abel Windows上で動作します。ユーザーアカウントのパスワードの回復、 Microsoft アクセスパスワード。ネットワークスニッフィングなどとは異なります。 John the Ripper, Cain & Abel グラフィックユーザーインターフェイスを使用します。使い方が簡単なため、初心者やスクリプトキディの間で非常に人気があります。製品の Web サイトにアクセスしてください。 https://sectools.org/tool/cain/ 詳細と使用方法については、こちらをご覧ください。

3) オフクラック

Ophcrack はクロスプラットフォームです Windows レインボーテーブルを使用してパスワードを解析するパスワードクラッカー。実行されます Windows, Linux そしてMac OS。他の機能の中でもブルートフォース攻撃用のモジュールも備えています。製品ウェブサイトにアクセスしてください https://ophcrack.sourceforge.io/ 詳細と使用方法については、こちらをご覧ください。

mSpy

自律的AI mspy、キーロガーアプリケーションを使用すると、物理的にその場に居なくても、誰かが入力したすべての単語を慎重に観察できます。このツールを使用すると、すべてのキーストロークを追跡し、デバイスをタップしたり、監視したりできます。人気のチャットアプリ WhatsApp、Instagram、Tinder、Snapchat、Viberなどのアプリで、すべてのテキストメッセージとインスタントメッセージを簡単に表示し、内蔵の GPSトラッカーデバイスの位置を特定します。

パスワードクラッキング攻撃から身を守るには?

組織は、パスワードが破られる可能性を減らすために、以下の方法を使用できます。
短くて簡単に推測できるパスワードは避けてください
11552266 などの予測可能なパターンのパスワードは使用しないでください。
データベースに保存されるパスワードは常に暗号化する必要があります。 md5 暗号化の場合、パスワードハッシュを保存する前にソルト処理することをお勧めします。ソルティングでは、ハッシュを作成する前に、指定されたパスワードに何らかの単語を追加します。
ほとんどの登録システムにはパスワード強度インジケーターがあるため、組織はパスワード強度の数値を高くするポリシーを採用する必要があります。