Łamacz haseł: jak złamać (hakować) hasło?

Przez: Oliver Jones Oliver Jones
Hours Zaktualizowano

Co to jest łamanie haseł?

Łamanie haseł to proces próby uzyskania nieautoryzowanego dostępu do zastrzeżonych systemów przy użyciu powszechnych haseł lub algorytmów, które odgadują hasła. Innymi słowy, jest to sztuka uzyskiwania prawidłowego hasła, które daje dostęp do systemu chronionego metodą uwierzytelniania.

Łamanie haseł wykorzystuje szereg technik, aby osiągnąć swoje cele. Proces łamania może obejmować porównywanie przechowywanych haseł z listą słów lub używanie algorytmów w celu generowania haseł, które pasują

Łamanie haseł

W tym samouczku przedstawimy popularne techniki łamania haseł i środki zaradcze, które można wdrożyć, aby chronić systemy przed takimi atakami.

Co to jest siła hasła?

Siła hasła jest miarą jego skuteczności w przeciwstawianiu się atakom polegającym na łamaniu haseł. Siła hasła jest określana przez;

  • Długość: liczba znaków zawartych w haśle.
  • Złożoność:czy wykorzystuje kombinację liter, cyfr i symboli?
  • Nieprzewidywalność: czy jest to coś, co atakujący może łatwo odgadnąć?

Spójrzmy teraz na praktyczny przykład. Będziemy używać trzech haseł, a mianowicie

1. hasło

2. hasło1

3. #hasło1$

W tym przykładzie podczas tworzenia haseł użyjemy wskaźnika siły hasła Cpanel. Poniższe obrazy pokazują siłę każdego z wyżej wymienionych haseł.

Siła hasła

Note: używane hasło to hasło o sile 1 i jest bardzo słabe.

Siła hasła

Note: użyte hasło to hasło1, siła wynosi 28 i nadal jest słaba.

Siła hasła

Note:Użyte hasło to #password1$, jego siła wynosi 60 i jest silne.

Im wyższa liczba siły, tym lepsze hasło.

Załóżmy, że musimy przechowywać nasze powyższe hasła przy użyciu szyfrowania md5. Będziemy korzystać z Internetu generator skrótów md5 do konwersji naszych haseł na skróty md5.

Poniższa tabela przedstawia skróty haseł

Hasło Skrót MD5 Wskaźnik siły panelu

password

5f4dcc3b5aa765d61d8327deb882cf99

1

password1

7c6a180b36896a0a8c02787eeafb0e4c

28

#hasło1$

29e08fb7103c327d68327f23d8d9256c

60

Będziemy teraz korzystać http://www.md5this.com/ aby złamać powyższe skróty. Poniższe obrazy przedstawiają wyniki łamania powyższych haseł.

Wyniki łamania haseł

Wyniki łamania haseł

Wyniki łamania haseł

Jak widać z powyższych wyników, udało nam się złamać pierwsze i drugie hasło, które miały niższe numery siły. Nie udało nam się złamać trzeciego hasła, które było dłuższe, złożone i nieprzewidywalne. Miało wyższy numer siły.

POWIĄZANE ARTYKUŁY

Techniki łamania haseł

Istnieje szereg techniki, które można wykorzystać do łamania haseł. Poniżej opiszemy najczęściej używane;

  • Atak słownikowy– Ta metoda polega na użyciu listy słów w celu porównania haseł użytkowników.
  • Brutalny atak– Ta metoda jest podobna do ataku słownikowego. Ataki siłowe wykorzystują algorytmy, które łączą znaki alfanumeryczne i symbole, aby wymyślić hasła do ataku. Na przykład hasło o wartości „password” można również wypróbować jako p@$$word, używając ataku siłowego.
  • Atak na tęczowy stół– Ta metoda wykorzystuje wstępnie obliczone skróty. Załóżmy, że mamy bazę danych przechowującą hasła w postaci skrótów md5. Możemy stworzyć kolejną bazę danych zawierającą skróty md5 powszechnie używanych haseł. Następnie możemy porównać skrót hasła, który posiadamy, z skrótami przechowywanymi w bazie danych. Jeśli zostanie znalezione dopasowanie, mamy hasło.
  • Guess– Jak sama nazwa wskazuje, metoda ta polega na zgadywaniu. Hasła takie jak qwerty, hasło, admin itp. są powszechnie używane lub ustawiane jako hasła domyślne. Jeśli nie zostały one zmienione lub użytkownik nieostrożnie wybiera hasła, łatwo można je złamać.
  • Pająk– Większość organizacji używa haseł zawierających informacje o firmie. Informacje te można znaleźć na stronach internetowych firm, w mediach społecznościowych, takich jak Facebook, Twitter itp. Spidering zbiera informacje z tych źródeł w celu opracowania list słów. Lista słów jest następnie wykorzystywana do przeprowadzania ataków słownikowych i siłowych.

Przykładowa lista słów ataku słownikowego Spidering

1976 <founder birth year>

smith jones <founder name>

acme <company name/initials>

built|to|last <words in company vision/mission>

golfing|chess|soccer <founders hobbies

Narzędzia do łamania haseł

Są to programy służące do łamania haseł użytkowników. Przyjrzeliśmy się już podobnemu narzędziu w powyższym przykładzie dotyczącym mocnych haseł. Strona internetowa http://www.md5this.com/ używa tęczowej tabeli do łamania haseł. Przyjrzymy się teraz niektórym powszechnie używanym narzędziom

1) John the Ripper

John the Ripper używa wiersza poleceń do łamania haseł. Dzięki temu jest odpowiedni dla zaawansowanych użytkowników, którzy czują się komfortowo pracując z poleceniami. Używa listy słów do łamania haseł. Program jest darmowy, ale listę słów trzeba kupić. Zawiera bezpłatne alternatywne listy słów, z których możesz korzystać. Odwiedź witrynę produktu https://www.openwall.com/john/ aby uzyskać więcej informacji i dowiedzieć się, jak z niego korzystać.

2) Cain & Abel

Cain & Abel działa w systemie Windows. Służy do odzyskiwania haseł do kont użytkowników, odzyskiwania Microsoft Hasła dostępu; wąchanie sieci itp. Inaczej John the Ripper, Cain & Abel korzysta z graficznego interfejsu użytkownika. Jest bardzo powszechny wśród nowicjuszy i dzieci zajmujących się skryptami ze względu na prostotę użycia. Odwiedź stronę internetową produktu https://sectools.org/tool/cain/ aby uzyskać więcej informacji i dowiedzieć się, jak z niego korzystać.

3) Ophcrack

Ophcrack jest platformą wieloplatformową Windows narzędzie do łamania haseł wykorzystujące tęczowe tabele do łamania haseł. To działa dalej Windows, Linux i Mac OS. Posiada również moduł do ataków siłowych, między innymi. Odwiedź witrynę produktu https://ophcrack.sourceforge.io/ aby uzyskać więcej informacji i dowiedzieć się, jak z niego korzystać.

mSpy

Wraz z mspy, aplikację keyloggera, możesz dyskretnie obserwować wszystkie wpisywane przez kogoś słowa, bez konieczności fizycznej obecności. To narzędzie pozwala śledzić każde naciśnięcie klawisza i dotknięcie urządzenia, a także monitorować popularne aplikacje do czatowania takich jak WhatsApp, Instagram, Tinder, Snapchat i Viber. Bez wysiłku przeglądaj wszystkie wiadomości tekstowe i wiadomości błyskawiczne oraz korzystaj z wbudowanej GPS tracker aby zlokalizować położenie urządzenia.

Jak chronić się przed atakami polegającymi na łamaniu haseł?

  • Organizacja może skorzystać z następujących metod, aby zmniejszyć ryzyko złamania haseł
  • Unikaj krótkich i łatwych do przewidzenia haseł
  • Unikaj używania haseł o przewidywalnych wzorach, takich jak 11552266.
  • Hasła przechowywane w bazie danych muszą być zawsze szyfrowane. W przypadku szyfrowania md5 lepiej jest posolić skróty haseł przed ich zapisaniem. Solenie polega na dodaniu słowa do podanego hasła przed utworzeniem skrótu.
  • Większość systemów rejestracyjnych ma wskaźniki siły hasła, dlatego organizacje muszą przyjąć politykę faworyzującą hasła o wysokiej sile.

Aktywność hakerska: zhakuj teraz!

W tym praktycznym scenariuszu tak właśnie zrobimy pęknięcie Windows konto za pomocą prostego hasła. Windows używa skrótów NTLM do szyfrowania haseł. W tym celu użyjemy narzędzia do crackowania NTLM w Cain and Abel.

Do łamania haseł można używać crackera Cain and Abel;

W tym przykładzie użyjemy ataku słownikowego. Tutaj będziesz musiał pobrać listę słów dotyczących ataków słownikowych 10 tys. najczęściej spotykanych plików.zip

Na potrzeby tej demonstracji utworzyliśmy konto o nazwie Konta z hasłem qwerty on Windows 7.

Aktywność hakerska

Jak złamać hasło

Krok 1) Otwórz Kaina i Abla.

zobaczysz następujący ekran główny

Złam hasło

Krok 2) Znajdź przycisk Dodaj.

Upewnij się, że zakładka crackera jest wybrana, jak pokazano powyżej, i kliknij przycisk Dodaj na pasku narzędzi.

Złam hasło

Krok 3) Zaznacz pole dialogowe.

Pojawi się następujące okno dialogowe. Importuj użytkowników lokalnych i kliknij przycisk Dalej.

Złam hasło

Krok 4) Konta użytkowników lokalnych będą wyświetlane w następujący sposób.

Pamiętaj, że pokazane wyniki będą dotyczyć kont użytkowników na komputerze lokalnym.

Złam hasło

Krok 5) Kliknij prawym przyciskiem myszy konto, które chcesz złamać.

W tym samouczku będziemy używać Kont jako konta użytkownika.

Złam hasło

Krok 6) Sprawdź poniższy ekran.

Kliknij prawym przyciskiem sekcję słownika i wybierz menu Dodaj do listy, jak pokazano powyżej.

Złam hasło

Krok 7) Przeglądać plik.

Przejdź do najczęściej pobranego pliku .txt o wielkości 10 KB

Złam hasło

Krok 8) Sprawdź wyniki.

Jeśli użytkownik użył prostego hasła, np. qwerty, powinieneś otrzymać następujące wyniki.

Złam hasło

  • Note:czas potrzebny na złamanie hasła zależy od jego siły, złożoności oraz mocy obliczeniowej komputera.
  • Jeśli hasło nie zostanie złamane za pomocą ataku słownikowego, możesz spróbować ataków brute-force lub kryptoanalizy.

Podsumowanie

  • Łamanie haseł to sztuka odzyskiwania przechowywanych lub przesyłanych haseł.
  • Siłę hasła określa się na podstawie jego długości, złożoności i nieprzewidywalności.
  • Typowe techniki haseł obejmują ataki słownikowe, brutalną siłę, tablice tęczowe, pająki i pękanie.
  • Narzędzia do łamania haseł uprościć proces łamania haseł.

Możesz lubić: