비밀번호 크래커: 비밀번호를 크랙(해킹)하는 방법은 무엇입니까?

비밀번호 크래킹이란 무엇입니까?

비밀번호 크래킹은 일반적인 비밀번호나 비밀번호를 추측하는 알고리즘을 사용하여 제한된 시스템에 무단 액세스를 시도하는 프로세스입니다. 즉, 인증 방식으로 보호되는 시스템에 접근할 수 있는 올바른 비밀번호를 획득하는 기술이다.

비밀번호 크래킹은 목표를 달성하기 위해 다양한 기술을 사용합니다. 크래킹 프로세스에는 저장된 비밀번호를 단어 목록과 비교하거나 알고리즘을 사용하여 일치하는 비밀번호를 생성하는 작업이 포함될 수 있습니다.

비밀번호 크래킹

이 튜토리얼에서는 일반적인 비밀번호 크래킹 기술과 이러한 공격으로부터 시스템을 보호하기 위해 구현할 수 있는 대응책을 소개합니다.

암호 강도란 무엇입니까?

비밀번호 강도는 비밀번호 크래킹 공격에 저항하는 비밀번호의 효율성을 측정한 것입니다.. 비밀번호의 강도는 다음에 의해 결정됩니다.

  • 길이: 비밀번호에 포함된 문자 수입니다.
  • 와plexity: 문자, 숫자, 기호의 조합을 사용합니까?
  • 예측할 수 없음: 공격자가 쉽게 추측할 수 있는 내용인가?

이제 실제적인 예를 살펴보겠습니다. 우리는 세 가지 비밀번호를 사용합니다.

1. 비밀번호

2. 비밀번호1

3. #비밀번호1$

이 예에서는 비밀번호를 생성할 때 Cpanel의 비밀번호 강도 표시기를 사용합니다. 아래 이미지는 위에 나열된 각 비밀번호의 비밀번호 강도를 보여줍니다.

비밀번호 강도

주의 사항: 사용된 비밀번호는 비밀번호이며 강도는 1로 매우 약합니다.

비밀번호 강도

주의 사항: 사용된 비밀번호는 비밀번호1 이고 강도는 28 로 아직 약합니다.

비밀번호 강도

주의 사항: 사용된 비밀번호는 #password1$ 이며 강도는 60으로 강력합니다.

강도 수치가 높을수록 비밀번호가 더 좋습니다.

md5 암호화를 사용하여 위의 비밀번호를 저장해야 한다고 가정해 보겠습니다. 우리는 온라인을 사용할 것입니다 md5 해시 generator 비밀번호를 md5 해시로 변환합니다.

아래 표는 비밀번호 해시를 보여줍니다.

비밀번호 MD5 해시 C패널 강도 표시기

암호

5f4dcc3b5aa765d61d8327deb882cf99

1

password1

7c6a180b36896a0a8c02787eeafb0e4c

28

#password1$

29e08fb7103c327d68327f23d8d9256c

60

이제 우리는 http://www.md5this.com/ 위의 해시를 해독합니다. 아래 이미지는 위 비밀번호에 대한 비밀번호 크래킹 결과를 보여줍니다.

비밀번호 크래킹 결과

비밀번호 크래킹 결과

비밀번호 크래킹 결과

위 결과에서 볼 수 있듯이 강도가 낮은 첫 번째와 두 번째 비밀번호를 크랙하는 데 성공했습니다. 우리는 더 긴 세 번째 비밀번호를 해독하지 못했습니다. complex 예측할 수 없습니다. 강도 수치가 더 높았습니다.

비밀번호 크래킹 기술

은 여러 가지가있을 수 있습니다 비밀번호를 해독하는 데 사용할 수 있는 기술. 아래에서는 가장 일반적으로 사용되는 항목을 설명하겠습니다.

  • 사전 공격– 이 방법에는 사용자 비밀번호와 비교하기 위해 단어 목록을 사용하는 방법이 포함됩니다.
  • 무차별 대입 공격– 이 방법은 사전공격과 유사하다. 무차별 대입 공격은 영숫자 문자와 기호를 결합하여 공격에 대한 암호를 생성하는 알고리즘을 사용합니다. 예를 들어, "password" 값의 비밀번호는 무차별 대입 공격을 사용하여 p@$$word로 시도될 수도 있습니다.
  • 레인보우 테이블 공격– 이 방법은 미리 계산된 해시를 사용합니다. 비밀번호를 md5 해시로 저장하는 데이터베이스가 있다고 가정해 보겠습니다. 일반적으로 사용되는 비밀번호의 md5 해시가 있는 다른 데이터베이스를 만들 수 있습니다. 그런 다음 우리가 가지고 있는 비밀번호 해시를 데이터베이스에 저장된 해시와 비교할 수 있습니다. 일치하는 항목이 발견되면 비밀번호를 갖게 됩니다.
  • 게스– 이름에서 알 수 있듯이 이 방법에는 추측이 포함됩니다. qwerty, 비밀번호, admin 등과 같은 비밀번호가 일반적으로 사용되거나 기본 비밀번호로 설정됩니다. 비밀번호를 변경하지 않았거나 사용자가 비밀번호를 부주의하게 선택했다면 비밀번호는 쉽게 손상될 수 있습니다.
  • 스파이더링– 대부분의 조직에서는 회사 정보가 포함된 비밀번호를 사용합니다. 이 정보는 회사 웹사이트, 페이스북, 트위터 등의 소셜 미디어에서 찾을 수 있습니다. 스파이더링은 이러한 소스로부터 정보를 수집하여 단어 목록을 만듭니다. 그런 다음 단어 목록은 사전 및 무차별 대입 공격을 수행하는 데 사용됩니다.

스파이더링 샘플 사전 공격 단어 목록

1976 <founder birth year>

smith jones <founder name>

acme <company name/initials>

built|to|last <words in company vision/mission>

golfing|chess|soccer <founders hobbies

비밀번호 크래커 도구

사용자 비밀번호를 해독하는 데 사용되는 소프트웨어 프로그램입니다.. 우리는 이미 위의 예에서 비밀번호 강도에 대한 유사한 도구를 살펴보았습니다. 웹 사이트 http://www.md5this.com/ 레인보우 테이블을 사용하여 비밀번호를 해독합니다. 이제 일반적으로 사용되는 몇 가지 도구를 살펴보겠습니다.

1) 존 더 리퍼

John the Ripper는 명령 프롬프트를 사용하여 암호를 해독합니다. 이는 명령 작업에 익숙한 고급 사용자에게 적합합니다. 비밀번호를 해독하기 위해 단어 목록을 사용합니다. 프로그램은 무료이지만 단어 목록은 구입해야 합니다. 사용할 수 있는 무료 대체 단어 목록이 있습니다. 제품 웹사이트를 방문하세요 https://www.openwall.com/john/ 자세한 내용과 사용 방법을 알아보세요.

2) 가인과 아벨

Cain & Abel은 Windows에서 실행됩니다. 사용자 계정의 비밀번호를 복구하는 데 사용됩니다. Microsoft 비밀번호에 접근합니다. 네트워킹 스니핑 등 John the Ripper와 달리 Cain & Abel은 그래픽 사용자 인터페이스를 사용합니다. 사용이 간편하기 때문에 초보자와 스크립트 키드 사이에서 매우 일반적입니다. 제품 웹사이트를 방문하세요 https://sectools.org/tool/cain/ 자세한 내용과 사용 방법을 알아보세요.

3) 오브크랙

Ophcrack은 레인보우 테이블을 사용하여 비밀번호를 해독하는 크로스 플랫폼 Windows 비밀번호 크래커입니다. Windows에서 실행되며, Linux 그리고 맥 OS. 또한 다른 기능 중에서도 무차별 대입 공격을 위한 모듈도 있습니다. 제품 웹사이트를 방문하세요 https://ophcrack.sourceforge.io/ 자세한 내용과 사용 방법을 알아보세요.

mSpy

mspy, 키로거 애플리케이션을 사용하면 물리적으로 존재하지 않고도 누군가가 입력하는 모든 단어를 눈에 띄지 않게 관찰할 수 있습니다. 이 도구를 사용하면 모든 키 입력을 추적하고 장치를 탭하고 모니터할 수 있습니다. 인기 있는 채팅 앱 WhatsApp, Instagram, Tinder, Snapchat 및 Viber와 같은. 모든 문자 메시지와 인스턴트 메시지를 손쉽게 확인하고, 내장된 GPS 추적기 장치의 위치를 ​​찾으려면.

비밀번호 크래킹 공격으로부터 보호하는 방법은 무엇입니까?

  • 조직은 다음을 사용할 수 있습니다wing 비밀번호가 해킹될 가능성을 줄이는 방법
  • 짧고 쉽게 예측할 수 있는 비밀번호는 피하세요.
  • 11552266과 같이 예측 가능한 패턴의 비밀번호는 사용하지 마세요.
  • 데이터베이스에 저장된 비밀번호는 항상 암호화되어야 합니다. md5 암호화의 경우 비밀번호 해시를 저장하기 전에 솔트하는 것이 좋습니다. 솔팅에는 해시를 생성하기 전에 제공된 비밀번호에 일부 단어를 추가하는 작업이 포함됩니다.
  • 대부분의 등록 시스템에는 비밀번호 강도 표시기가 있으므로 조직은 비밀번호 강도가 높은 숫자를 선호하는 정책을 채택해야 합니다.

해킹 활동: 지금 해킹하세요!

이 실제 시나리오에서 우리는 간단한 비밀번호로 Windows 계정을 크랙하세요. Windows는 NTLM 해시를 사용하여 비밀번호를 암호화합니다.. 이를 위해 Cain and Abel의 NTLM 크래커 도구를 사용할 것입니다.

Cain과 Abel 크래커는 다음을 사용하여 암호를 해독하는 데 사용할 수 있습니다.

  • 사전 공격
  • 무력
  • 암호 해독

이 예에서는 사전 공격을 사용합니다. 여기에서 사전 공격 단어 목록을 다운로드해야 합니다. 10k-가장 일반적인 .zip

이 데모에서는 Windows 7에서 암호 qwerty를 사용하여 Accounts라는 계정을 만들었습니다.

해킹 활동

비밀번호를 해독하는 방법

단계 1) 가인과 아벨을 열어보세요.

당신은 추종자를 얻을 것이다wing 메인 화면

비밀번호를 해독하세요

단계 2) 추가 버튼을 찾으세요.

위와 같이 크래커 탭이 선택되어 있는지 확인하고 도구 모음에서 추가 버튼을 클릭합니다.

비밀번호를 해독하세요

단계 3) 대화상자 확인 box.

더 폴로wing 대화창이 나타납니다. 로컬 사용자를 가져오고 다음 버튼을 클릭하세요.

비밀번호를 해독하세요

단계 4) 로컬 사용자 계정은 다음과 같이 표시됩니다.

표시되는 결과는 로컬 컴퓨터의 사용자 계정에 대한 것입니다.

비밀번호를 해독하세요

단계 5) 크랙하려는 계정을 마우스 오른쪽 버튼으로 클릭하세요.

이 자습서에서는 계정을 사용자 계정으로 사용합니다.

비밀번호를 해독하세요

단계 6) 아래 화면을 확인하세요.

위와 같이 사전 섹션을 마우스 오른쪽 버튼으로 클릭하고 목록에 추가 메뉴를 선택합니다.

비밀번호를 해독하세요

단계 7) 파일 찾아보기.

방금 다운로드한 10개의 가장 일반적인.txt 파일을 찾아보세요.

비밀번호를 해독하세요

단계 8) 결과를 확인하세요.

사용자가 qwerty와 같은 간단한 비밀번호를 사용한 경우 다음을 얻을 수 있습니다.wing 결과.

비밀번호를 해독하세요

  • 주의 사항: 비밀번호를 해독하는 데 걸리는 시간은 비밀번호 강도에 따라 다릅니다. complex기계의 성능과 처리 능력.
  • 사전 공격을 사용해 비밀번호가 해독되지 않으면 무차별 대입 공격이나 암호해독 공격을 시도할 수 있습니다.

요약

  • 비밀번호 크래킹은 저장되거나 전송된 비밀번호를 복구하는 기술입니다.
  • 비밀번호 강도는 길이에 따라 결정됩니다. complex그리고 비밀번호 값의 예측 불가능성 등이 있습니다.
  • 일반적인 비밀번호 기술에는 사전 공격, 무차별 공격, 레인보우 테이블, 스파이더링 및 크래킹이 포함됩니다.
  • 비밀번호 크래킹 도구 비밀번호를 해독하는 과정을 단순화합니다.
Guru99는 Invicti의 후원을 받습니다.
인빅티

증명 기반 스캐닝 기술의 개발자인 Invicti는 웹 애플리케이션 보안 인식을 높이고 더 많은 개발자가 보안 코드 작성에 대해 배울 수 있도록 Guru99 프로젝트를 후원했습니다.