Взломщик паролей: как взломать (взломать) пароль?

Что такое Взлом пароля?

Взлом пароля — это процесс попытки получить несанкционированный доступ к системам с ограниченным доступом с использованием обычных паролей или алгоритмов, которые угадывают пароли. Другими словами, это искусство получения правильного пароля, который дает доступ к системе, защищенной методом аутентификации.

Для взлома паролей используется ряд методов для достижения своих целей. Процесс взлома может включать в себя либо сравнение сохраненных паролей со списком слов, либо использование алгоритмов для генерации паролей, соответствующих

Взлом пароля

В этом руководстве мы познакомим вас с распространенными методами взлома паролей и контрмерами, которые вы можете реализовать для защиты систем от таких атак.

Что такое надежность пароля?

Надежность пароля — это мера эффективности пароля для защиты от атак, связанных со взломом пароля.. Надежность пароля определяется;

  • Длина: количество символов, содержащихся в пароле.
  • Многогранность: используется ли комбинация букв, цифр и символов?
  • непредсказуемость: злоумышленник может легко угадать это?

Давайте теперь посмотрим на практический пример. Мы будем использовать три пароля, а именно

1. пароль

2. пароль1

3. #пароль1$

В этом примере мы будем использовать индикатор надежности пароля Cpanel при создании паролей. На изображениях ниже показана надежность каждого из перечисленных выше паролей.

Надежность пароля

Внимание: используется пароль, надежность которого равна 1, и он очень слабый.

Надежность пароля

Внимание: используемый пароль — пароль1, надежность — 28, и он все еще слабый.

Надежность пароля

Внимание: Используемый пароль — #password1$, его надежность — 60, и он надежный.

Чем выше показатель надежности, тем лучше пароль.

Предположим, нам нужно хранить указанные выше пароли, используя шифрование md5. Мы будем использовать онлайн md5 хеш generator чтобы преобразовать наши пароли в хеши md5.

В таблице ниже показаны хэши паролей.

Пароль MD5-хэш Индикатор силы панели управления

password

5f4dcc3b5aa765d61d8327deb882cf99

1

password1

7c6a180b36896a0a8c02787eeafb0e4c

28

#пароль1$

29e08fb7103c327d68327f23d8d9256c

60

Теперь мы будем использовать http://www.md5this.com/ чтобы взломать вышеуказанные хэши. На изображениях ниже показаны результаты взлома вышеуказанных паролей.

Результаты взлома пароля

Результаты взлома пароля

Результаты взлома пароля

Как видно из приведенных выше результатов, нам удалось взломать первый и второй пароли с меньшими показателями надежности. Нам не удалось взломать третий пароль, который был длиннее, complex и непредсказуемый. Он имел более высокий показатель прочности.

Методы взлома паролей

Есть некоторое количество методы, которые можно использовать для взлома паролей. Ниже мы опишем наиболее часто используемые из них;

  • Словарная атака– Этот метод предполагает использование списка слов для сравнения с паролями пользователей.
  • Атака грубой силы– Этот метод похож на атаку по словарю. Атаки грубой силы используют алгоритмы, которые объединяют буквенно-цифровые символы и символы для создания паролей для атаки. Например, пароль со значением «пароль» также можно попробовать использовать как p@$$word, используя атаку методом перебора.
  • Атака радужным столом– Этот метод использует предварительно вычисленные хеши. Предположим, у нас есть база данных, в которой пароли хранятся в виде хешей md5. Мы можем создать другую базу данных, содержащую хеши md5 часто используемых паролей. Затем мы можем сравнить имеющийся у нас хеш пароля с хэшами, хранящимися в базе данных. Если совпадение найдено, то пароль у нас есть.
  • Guess– Как следует из названия, этот метод предполагает угадывание. Такие пароли, как qwerty, пароль, администратор и т. д., обычно используются или устанавливаются в качестве паролей по умолчанию. Если они не были изменены или пользователь невнимателен при выборе паролей, то их можно легко скомпрометировать.
  • Пауки– Большинство организаций используют пароли, содержащие информацию о компании. Эту информацию можно найти на веб-сайтах компаний, в социальных сетях, таких как Facebook, Twitter и т. д. Spidering собирает информацию из этих источников и составляет списки слов. Список слов затем используется для выполнения атак по словарю и перебора.

Список слов для атаки по словарю Spidering

1976 <founder birth year>

smith jones <founder name>

acme <company name/initials>

built|to|last <words in company vision/mission>

golfing|chess|soccer <founders hobbies

Инструменты для взлома паролей

Это программы, которые используются для взлома паролей пользователей.. Мы уже рассматривали аналогичный инструмент в приведенном выше примере, посвященном надежности пароля. Веб-сайт http://www.md5this.com/ использует радужную таблицу для взлома паролей. Теперь мы рассмотрим некоторые из часто используемых инструментов.

1) John the Ripper

John the Ripper использует командную строку для взлома паролей. Это делает его подходящим для опытных пользователей, которым удобно работать с командами. Он использует список слов для взлома паролей. Программа бесплатная, но список слов придется покупать. Он имеет бесплатные альтернативные списки слов, которые вы можете использовать. Посетите веб-сайт продукта https://www.openwall.com/john/ для получения дополнительной информации и о том, как ее использовать.

2) Каин и Авель

Каин и Авель продолжают свой путь windows. Используется для восстановления паролей к учетным записям пользователей, восстановления Microsoft Пароли доступа; сетевой анализ и т. д. В отличие от John the Ripper, Cain & Abel использует графический интерфейс пользователя. Он очень популярен среди новичков и скрипт-кидов из-за простоты использования. Посетите веб-сайт продукта https://sectools.org/tool/cain/ для получения дополнительной информации и о том, как ее использовать.

3) Офкрак

Ophcrack — это кроссплатформенный Windows взломщик паролей, использующий радужные таблицы для взлома паролей. Он работает Windows, Linux и Mac OS. Среди других функций он также имеет модуль для атак методом перебора. Посетите веб-сайт продукта https://ophcrack.sourceforge.io/ для получения дополнительной информации и о том, как ее использовать.

mSpy

На примере mspy, приложение-кейлоггер, вы можете незаметно наблюдать за всеми вводимыми словами без необходимости физического присутствия. Этот инструмент позволяет отслеживать каждое нажатие клавиши и касание устройства, а также контролировать популярные приложения для чата как WhatsApp, Instagram, Tinder, Snapchat и Viber. Легко просматривайте все текстовые сообщения и мгновенные сообщения, а также используйте встроенный GPS-трекер чтобы определить положение устройства.

Как защититься от атак со взломом паролей?

  • Организация может использовать следующуюwing методы снижения вероятности взлома паролей
  • Избегайте коротких и легко предсказуемых паролей.
  • Избегайте использования паролей с предсказуемыми шаблонами, таких как 11552266.
  • Пароли, хранящиеся в базе данных, всегда должны быть зашифрованы. Для шифрования md5 лучше солить хэши паролей перед их сохранением. Соление предполагает добавление некоторого слова к предоставленному паролю перед созданием хеша.
  • Большинство систем регистрации имеют индикаторы надежности пароля, поэтому организации должны принять политику, способствующую высокой надежности паролей.

Хакерская деятельность: Взломайте сейчас!

В этом практическом сценарии мы собираемся трещина Windows аккаунт с простым паролем. Windows использует хэши NTLM для шифрования паролей. Для этого мы воспользуемся инструментом взлома NTLM в «Каине и Авеле».

Взломщик Каин и Авель можно использовать для взлома паролей с помощью;

В этом примере мы будем использовать атаку по словарю. Вам нужно будет скачать список слов для словарной атаки здесь. 10k-Most-Common.zip

Для этой демонстрации мы создали учетную запись под названием «Учетные записи» с паролем qwerty на Windows 7.

Хакерская деятельность

Как взломать пароль

Шаг 1) Откройте Каин и Авель.

ты получишь следующееwing главный экран

Взломать пароль

Шаг 2) Найдите кнопку «Добавить».

Убедитесь, что вкладка взломщика выбрана, как показано выше, и нажмите кнопку «Добавить» на панели инструментов.

Взломать пароль

Шаг 3) Диалог проверки box.

Фоллоwing появится диалоговое окно. Импортируйте локальных пользователей и нажмите кнопку «Далее».

Взломать пароль

Шаг 4) Учетные записи локальных пользователей будут отображаться следующим образом.

Обратите внимание, что показанные результаты будут относиться к учетным записям пользователей на вашем локальном компьютере.

Взломать пароль

Шаг 5) Щелкните правой кнопкой мыши учетную запись, которую хотите взломать.

В этом уроке мы будем использовать учетные записи в качестве учетной записи пользователя.

Взломать пароль

Шаг 6) Проверьте ниже экран.

Щелкните правой кнопкой мыши раздел словаря и выберите меню «Добавить в список», как показано выше.

Взломать пароль

Шаг 7) Просмотр файла.

Перейдите к 10 тыс. файлу Most common.txt, который вы только что загрузили.

Взломать пароль

Шаг 8) Проверьте результаты.

Если пользователь использовал простой пароль, например qwerty, вы сможете получить следующее:wing результаты.

Взломать пароль

  • Внимание: время, необходимое для взлома пароля, зависит от его надежности, complexпроизводительность и вычислительную мощность вашего компьютера.
  • Если пароль не взломан с помощью атаки по словарю, вы можете попробовать атаку методом перебора или криптоанализ.

Итоги

  • Взлом паролей — это искусство восстановления сохраненных или переданных паролей.
  • Надежность пароля определяется длиной, complexнадежность и непредсказуемость значения пароля.
  • Распространенные методы паролей включают атаки по словарю, грубую силу, радужные таблицы, обход пауков и взлом.
  • Инструменты для взлома паролей упростить процесс взлома паролей.
Guru99 спонсируется Invicti.
Invicti

Invicti, разработчики технологии Proof Based Scanning, спонсировали проект Guru99, чтобы повысить осведомленность о безопасности веб-приложений и позволить большему количеству разработчиков узнать о написании безопасного кода.