Wachtwoordcracker: hoe kraak (hack) je een wachtwoord?
Oliver Jones
Wat is wachtwoordkraken?
Wachtwoord kraken is het proces van het proberen om ongeautoriseerde toegang te krijgen tot beperkte systemen met behulp van algemene wachtwoorden of algoritmen die wachtwoorden raden. Met andere woorden, het is een kunst om het juiste wachtwoord te verkrijgen dat toegang geeft tot een systeem dat is beschermd door een authenticatiemethode.
Wachtwoord kraken gebruikt een aantal technieken om zijn doelen te bereiken. Het kraakproces kan bestaan uit het vergelijken van opgeslagen wachtwoorden met een woordenlijst of het gebruiken van algoritmen om wachtwoorden te genereren die overeenkomen
In deze zelfstudie laten we u kennismaken met de gebruikelijke technieken voor het kraken van wachtwoorden en de tegenmaatregelen die u kunt nemen om systemen tegen dergelijke aanvallen te beschermen.
Wat is wachtwoordsterkte?
Wachtwoordsterkte is de maatstaf voor de efficiëntie van een wachtwoord om aanvallen tegen het kraken van wachtwoorden te weerstaan. De sterkte van een wachtwoord wordt bepaald door;
- Lengte: het aantal tekens dat het wachtwoord bevat.
- Ingewikkeldheid: Gebruikt het een combinatie van letters, cijfers en symbolen?
- Onvoorspelbaarheid: is het iets dat gemakkelijk kan worden geraden door een aanvaller?
Laten we nu naar een praktisch voorbeeld kijken. We zullen namelijk drie wachtwoorden gebruiken
1. wachtwoord
2. wachtwoord1
3. #wachtwoord1$
Voor dit voorbeeld gebruiken we de wachtwoordsterkte-indicator van Cpanel bij het maken van wachtwoorden. De onderstaande afbeeldingen tonen de wachtwoordsterkten van elk van de hierboven genoemde wachtwoorden.
Note: het gebruikte wachtwoord is een wachtwoord, de sterkte is 1 en het is erg zwak.
Note: het gebruikte wachtwoord is wachtwoord1, de sterkte is 28 en het is nog steeds zwak.
Note: Het wachtwoord dat u gebruikt is #wachtwoord1$. De sterkte is 60 en het is sterk.
Hoe hoger het sterktegetal, hoe beter het wachtwoord.
Laten we aannemen dat we onze bovenstaande wachtwoorden moeten opslaan met behulp van MD5-codering. Wij gaan gebruik maken van een online md5 hash-generator om onze wachtwoorden om te zetten in MD5-hashes.
De onderstaande tabel toont de wachtwoord-hashes
| Wachtwoord | MD5 hasj | Cpaneelsterkte-indicator |
|---|---|---|
|
wachtwoord |
5f4dcc3b5aa765d61d8327deb882cf99 |
1 |
|
password1 |
7c6a180b36896a0a8c02787eeafb0e4c |
28 |
|
#wachtwoord1$ |
29e08fb7103c327d68327f23d8d9256c |
60 |
We zullen nu gebruiken http://www.md5this.com/ om de bovenstaande hashes te kraken. De onderstaande afbeeldingen tonen de resultaten van het kraken van wachtwoorden voor de bovenstaande wachtwoorden.
Zoals u kunt zien uit de bovenstaande resultaten, slaagden we erin om de eerste en tweede wachtwoorden te kraken die lagere sterktenummers hadden. We slaagden er niet in om het derde wachtwoord te kraken, dat langer, complex en onvoorspelbaar was. Het had een hoger sterktenummer.
Technieken voor het kraken van wachtwoorden
Er zijn een aantal technieken die gebruikt kunnen worden om wachtwoorden te kraken. Hieronder beschrijven we de meest gebruikte;
- Woordenboekaanval– Deze methode omvat het gebruik van een woordenlijst om te vergelijken met gebruikerswachtwoorden.
- Brute aanval– Deze methode is vergelijkbaar met de woordenboekaanval. Brute force-aanvallen gebruiken algoritmen die alfanumerieke tekens en symbolen combineren om wachtwoorden voor de aanval te bedenken. Een wachtwoord met de waarde "wachtwoord" kan bijvoorbeeld ook worden geprobeerd als p@$$word met behulp van de brute force-aanval.
- Regenboogtafelaanval– Deze methode maakt gebruik van vooraf berekende hashes. Laten we aannemen dat we een database hebben die wachtwoorden opslaat als MD5-hashes. We kunnen een andere database maken met MD5-hashes van veelgebruikte wachtwoorden. Vervolgens kunnen we de wachtwoord-hash die we hebben vergelijken met de opgeslagen hashes in de database. Als er een match wordt gevonden, hebben we het wachtwoord.
- Guess– Zoals de naam al doet vermoeden, impliceert deze methode gissen. Wachtwoorden zoals qwerty, wachtwoord, admin, etc. worden vaak gebruikt of ingesteld als standaardwachtwoorden. Als ze niet zijn gewijzigd of als de gebruiker onzorgvuldig is bij het selecteren van wachtwoorden, kunnen ze gemakkelijk worden gecompromitteerd.
- spinnen– De meeste organisaties gebruiken wachtwoorden die bedrijfsinformatie bevatten. Deze informatie is te vinden op bedrijfswebsites, sociale media zoals Facebook, Twitter, etc. Spidering verzamelt informatie uit deze bronnen om woordenlijsten te maken. De woordenlijst wordt vervolgens gebruikt om woordenboek- en brute force-aanvallen uit te voeren.
Spidering voorbeeld woordenlijst met woordenboekaanval
1976 <founder birth year> smith jones <founder name> acme <company name/initials> built|to|last <words in company vision/mission> golfing|chess|soccer <founders hobbies
Wachtwoordkraker Tools
Dit zijn softwareprogramma's die worden gebruikt om gebruikerswachtwoorden te kraken. We hebben in het bovenstaande voorbeeld al naar een soortgelijke tool gekeken over de sterkte van wachtwoorden. De website http://www.md5this.com/ gebruikt een regenboogtabel om wachtwoorden te kraken. We zullen nu enkele veelgebruikte hulpmiddelen bekijken
1) John the Ripper
John the Ripper gebruikt de opdrachtprompt om wachtwoorden te kraken. Dit maakt het geschikt voor gevorderde gebruikers die vertrouwd zijn met het werken met opdrachten. Het gebruikt een woordenlijst om wachtwoorden te kraken. Het programma is gratis, maar de woordenlijst moet worden gekocht. Het heeft gratis alternatieve woordenlijsten die u kunt gebruiken. Bezoek de productwebsite https://www.openwall.com/john/ voor meer informatie en hoe u deze kunt gebruiken.
2) Cain & Abel
Cain & Abel draait op windows. Het wordt gebruikt om wachtwoorden voor gebruikersaccounts te herstellen, herstel van Microsoft Toegang tot wachtwoorden; netwerken snuiven, enz. In tegenstelling tot John the Ripper, Cain & Abel maakt gebruik van een grafische gebruikersinterface. Het is heel gebruikelijk onder nieuwelingen en scriptkiddies vanwege het gebruiksgemak. Bezoek de productwebsite https://sectools.org/tool/cain/ voor meer informatie en hoe u deze kunt gebruiken.
3) Ophcrack
Ophcrack is een platformonafhankelijk Windows wachtwoordkraker die regenboogtabellen gebruikt om wachtwoorden te kraken. Het loopt door Windows, Linux en MacOS. Het heeft onder andere ook een module voor brute force-aanvallen. Bezoek de productwebsite https://ophcrack.sourceforge.io/ voor meer informatie en hoe u deze kunt gebruiken.
mSpy
met MSPY, een keylogger-applicatie, kunt u discreet alle woorden observeren die iemand typt zonder dat u fysiek aanwezig hoeft te zijn. Met deze tool kunt u elke toetsaanslag bijhouden, op een apparaat tikken en monitoren populaire chat-apps zoals WhatsApp, Instagram, Tinder, Snapchat en Viber. Bekijk moeiteloos alle tekstberichten en instant messages en gebruik de ingebouwde GPS tracker om de positie van een apparaat te bepalen.
Hoe kunt u zich beschermen tegen aanvallen met wachtwoordkraken?
- Een organisatie kan de volgende methoden gebruiken om de kans te verkleinen dat wachtwoorden worden gekraakt
- Vermijd korte en gemakkelijk voorspelbare wachtwoorden
- Vermijd het gebruik van wachtwoorden met voorspelbare patronen, zoals 11552266.
- Wachtwoorden die in de database worden opgeslagen, moeten altijd gecodeerd zijn. Voor md5-coderingen is het beter om de wachtwoord-hashes te zouten voordat u ze opslaat. Bij salten wordt een woord aan het opgegeven wachtwoord toegevoegd voordat de hash wordt gemaakt.
- De meeste registratiesystemen beschikken over indicatoren voor de wachtwoordsterkte. Organisaties moeten daarom een beleid voeren dat een hoge wachtwoordsterkte bevordert.
Hackactiviteit: Hack nu!
In dit praktische scenario gaan we dat doen barst Windows account met een eenvoudig wachtwoord. Windows gebruikt NTLM-hashes om wachtwoorden te coderen. We zullen daarvoor de NTLM-krakertool in Kaïn en Abel gebruiken.
Cain en Abel cracker kan worden gebruikt om wachtwoorden te kraken met behulp van;
- Woordenboekaanval
- Brute kracht
- Cryptanalyse
In dit voorbeeld zullen we de woordenboekaanval gebruiken. Je moet de woordenboekaanval-woordenlijst hier downloaden 10k-Meest voorkomende.zip
Voor deze demonstratie hebben we een account aangemaakt met de naam Accounts met het wachtwoord qwerty ingeschakeld Windows 7.
Hoe een wachtwoord te kraken
Stap 1) Open Kaïn en Abel.
je krijgt het volgende hoofdscherm
Stap 2) Zoek de knop Toevoegen.
Zorg ervoor dat het cracker-tabblad is geselecteerd zoals hierboven weergegeven en klik op de knop Toevoegen op de werkbalk.
Stap 3) Controleer het dialoogvenster.
Het volgende dialoogvenster verschijnt. Importeer lokale gebruikers en klik op de volgende knop.
Stap 4) De lokale gebruikersaccounts worden als volgt weergegeven.
Houd er rekening mee dat de weergegeven resultaten betrekking hebben op de gebruikersaccounts op uw lokale computer.
Stap 5) Klik met de rechtermuisknop op het account dat u wilt kraken.
Voor deze zelfstudie gebruiken we Accounts als gebruikersaccount.
Stap 6) Controleer onderstaand scherm.
Klik met de rechtermuisknop op het woordenboekgedeelte en selecteer het menu Toevoegen aan lijst, zoals hierboven weergegeven.
Stap 7) Bestand zoeken.
Blader naar het 10k meest voorkomende.txt-bestand dat u zojuist hebt gedownload
Stap 8) Controleer de resultaten.
Als de gebruiker een eenvoudig wachtwoord zoals qwerty heeft gebruikt, zou u de volgende resultaten moeten kunnen krijgen.
- Note:Hoe lang het duurt om het wachtwoord te kraken, hangt af van de sterkte, complexiteit en verwerkingskracht van het wachtwoord op uw computer.
- Als het wachtwoord niet kan worden gekraakt met behulp van een woordenboekaanval, kunt u brute force- of cryptanalyse-aanvallen proberen.
Samenvatting
- Wachtwoordkraken is de kunst van het herstellen van opgeslagen of verzonden wachtwoorden.
- De sterkte van een wachtwoord wordt bepaald door de lengte, complexiteit en onvoorspelbaarheid van de wachtwoordwaarde.
- Veelgebruikte wachtwoordtechnieken zijn onder meer woordenboekaanvallen, brute kracht, regenboogtabellen, spidering en cracking.
- Hulpprogramma's voor het kraken van wachtwoorden vereenvoudig het proces van het kraken van wachtwoorden.
