Πώς να σπάσετε έναν κωδικό πρόσβασης

Πίνακας περιεχομένων:

Anonim

Τι είναι το Cracking Password;

Το cracking password είναι η διαδικασία απόπειρας απόκτησης μη εξουσιοδοτημένης πρόσβασης σε περιορισμένα συστήματα χρησιμοποιώντας κοινούς κωδικούς πρόσβασης ή αλγόριθμους που υποθέτουν κωδικούς πρόσβασης. Με άλλα λόγια, είναι μια τέχνη απόκτησης του σωστού κωδικού πρόσβασης που παρέχει πρόσβαση σε ένα σύστημα που προστατεύεται από μια μέθοδο ελέγχου ταυτότητας.

Το cracking password χρησιμοποιεί πολλές τεχνικές για την επίτευξη των στόχων του Η διαδικασία πυρόλυσης μπορεί να περιλαμβάνει είτε σύγκριση αποθηκευμένων κωδικών πρόσβασης με λίστα λέξεων ή χρήση αλγορίθμων για τη δημιουργία κωδικών πρόσβασης που ταιριάζουν

Σε αυτό το σεμινάριο, θα σας παρουσιάσουμε τις κοινές τεχνικές διάσπασης κωδικού πρόσβασης και τα αντίμετρα που μπορείτε να εφαρμόσετε για την προστασία συστημάτων από τέτοιες επιθέσεις.

Θέματα που καλύπτονται σε αυτό το σεμινάριο

  • Τι είναι η ισχύς του κωδικού πρόσβασης;
  • Τεχνικές πυρόλυσης κωδικού πρόσβασης
  • Εργαλεία διάσπασης κωδικού πρόσβασης
  • Μετρητές ρωγμών κωδικού πρόσβασης
  • Εργασία Hacking: Hack τώρα!

Τι είναι η ισχύς του κωδικού πρόσβασης;

Η ισχύς του κωδικού πρόσβασης είναι το μέτρο της αποτελεσματικότητας ενός κωδικού πρόσβασης για να αντισταθεί σε επιθέσεις σπασίματος κωδικού πρόσβασης . Η ισχύς ενός κωδικού πρόσβασης καθορίζεται από:

  • Μήκος : ο αριθμός των χαρακτήρων που περιέχει ο κωδικός πρόσβασης.
  • Πολυπλοκότητα : χρησιμοποιεί συνδυασμό γραμμάτων, αριθμών και συμβόλων;
  • Απρόβλεψη : είναι κάτι που μπορεί να μαντέψει εύκολα από έναν εισβολέα;

Ας δούμε τώρα ένα πρακτικό παράδειγμα. Θα χρησιμοποιήσουμε τρεις κωδικούς πρόσβασης, συγκεκριμένα

1. κωδικός πρόσβασης

2. κωδικός πρόσβασης1

3. # κωδικός πρόσβασης 1 $

Για αυτό το παράδειγμα, θα χρησιμοποιήσουμε την ένδειξη ισχύος κωδικού πρόσβασης του Cpanel κατά τη δημιουργία κωδικών πρόσβασης. Οι παρακάτω εικόνες δείχνουν τις δυνατότητες του κωδικού πρόσβασης για κάθε έναν από τους παραπάνω κωδικούς πρόσβασης.

Σημείωση : ο κωδικός πρόσβασης που χρησιμοποιείται είναι κωδικός πρόσβασης, η ισχύς είναι 1 και είναι πολύ αδύναμη.

Σημείωση : ο κωδικός πρόσβασης που χρησιμοποιείται είναι κωδικός πρόσβασης1 η ισχύς είναι 28 και εξακολουθεί να είναι αδύναμη.

Σημείωση : Ο κωδικός πρόσβασης που χρησιμοποιείται είναι # κωδικός1 $ η δύναμη είναι 60 και είναι ισχυρή.

Όσο υψηλότερος είναι ο αριθμός ισχύος, τόσο καλύτερος είναι ο κωδικός πρόσβασης.

Ας υποθέσουμε ότι πρέπει να αποθηκεύσουμε τους παραπάνω κωδικούς πρόσβασης χρησιμοποιώντας κρυπτογράφηση md5. Θα χρησιμοποιήσουμε μια online γεννήτρια κατακερματισμού md5 για να μετατρέψουμε τους κωδικούς πρόσβασης σε κατακερματισμούς md5.

Ο παρακάτω πίνακας δείχνει τον κατακερματισμό του κωδικού πρόσβασης

Κωδικός πρόσβασης MD5 Hash Δείκτης ισχύος Cpanel
Κωδικός πρόσβασης 5f4dcc3b5aa765d61d8327deb882cf99 1
κωδικός πρόσβασης1 7c6a180b36896a0a8c02787eeafb0e4c 28
# κωδικός πρόσβασης1 $ 29e08fb7103c327d68327f23d8d9256c 60

Θα χρησιμοποιήσουμε τώρα το http://www.md5this.com/ για να σπάσουμε τους παραπάνω κατακερματισμούς. Οι παρακάτω εικόνες δείχνουν τα αποτελέσματα διάρρηξης του κωδικού πρόσβασης για τους παραπάνω κωδικούς πρόσβασης.

Όπως μπορείτε να δείτε από τα παραπάνω αποτελέσματα, καταφέραμε να σπάσουμε τον πρώτο και δεύτερο κωδικό πρόσβασης που είχαν χαμηλότερους αριθμούς ισχύος. Δεν καταφέραμε να σπάσουμε τον τρίτο κωδικό πρόσβασης που ήταν μακρύτερος, περίπλοκος και απρόβλεπτος. Είχε μεγαλύτερο αριθμό αντοχής.

Τεχνικές πυρόλυσης κωδικού πρόσβασης

Υπάρχουν πολλές τεχνικές που μπορούν να χρησιμοποιηθούν για τη διάσπαση κωδικών πρόσβασης . Θα περιγράψουμε τις πιο συχνά χρησιμοποιούμενες παρακάτω.

  • Λεξικό επίθεση - Αυτή η μέθοδος περιλαμβάνει τη χρήση μιας λίστας λέξεων για σύγκριση με τους κωδικούς πρόσβασης χρήστη.
  • Brute force attack - Αυτή η μέθοδος είναι παρόμοια με την επίθεση στο λεξικό. Οι βίαιες επιθέσεις χρησιμοποιούν αλγόριθμους που συνδυάζουν αλφαριθμητικούς χαρακτήρες και σύμβολα για να βρουν κωδικούς πρόσβασης για την επίθεση. Για παράδειγμα, ένας κωδικός πρόσβασης της τιμής "κωδικός πρόσβασης" μπορεί επίσης να δοκιμαστεί ως λέξη p @ $$ χρησιμοποιώντας την επίθεση brute force.
  • Rainbow table attack - Αυτή η μέθοδος χρησιμοποιεί προ-υπολογισμένους κατακερματισμούς. Ας υποθέσουμε ότι έχουμε μια βάση δεδομένων που αποθηκεύει τους κωδικούς πρόσβασης ως hash md5. Μπορούμε να δημιουργήσουμε μια άλλη βάση δεδομένων που έχει κατακερματισμούς md5 κοινά χρησιμοποιούμενων κωδικών πρόσβασης. Στη συνέχεια μπορούμε να συγκρίνουμε τον κατακερματισμό του κωδικού πρόσβασης με τους αποθηκευμένους κατακερματισμούς στη βάση δεδομένων. Εάν βρεθεί κάποιος αγώνας, τότε έχουμε τον κωδικό πρόσβασης.
  • Μαντέψτε - Όπως υποδηλώνει το όνομα, αυτή η μέθοδος περιλαμβάνει μαντέψεις. Οι κωδικοί πρόσβασης όπως το qwerty, ο κωδικός πρόσβασης, ο διαχειριστής κ.λπ. χρησιμοποιούνται συνήθως ή ορίζονται ως προεπιλεγμένοι κωδικοί πρόσβασης. Εάν δεν έχουν αλλάξει ή εάν ο χρήστης είναι απρόσεκτος κατά την επιλογή κωδικών πρόσβασης, τότε μπορούν εύκολα να παραβιαστούν.
  • Spidering - Οι περισσότεροι οργανισμοί χρησιμοποιούν κωδικούς πρόσβασης που περιέχουν πληροφορίες εταιρείας. Αυτές οι πληροφορίες μπορούν να βρεθούν σε ιστότοπους εταιρειών, κοινωνικά μέσα όπως facebook, twitter κ.λπ. Το Spidering συλλέγει πληροφορίες από αυτές τις πηγές για να εμφανίσει λίστες λέξεων. Στη συνέχεια, η λίστα λέξεων χρησιμοποιείται για την εκτέλεση επιθέσεων λεξικού και brute force.

Λίστα λέξεων επίθεσης λεξικού Spidering 

1976 smith jones acme built|to|last golfing|chess|soccer  

Εργαλείο διάσπασης κωδικού πρόσβασης


Αυτά είναι προγράμματα λογισμικού που χρησιμοποιούνται για τη διάσπαση των κωδικών πρόσβασης χρηστών . Εξετάσαμε ήδη ένα παρόμοιο εργαλείο στο παραπάνω παράδειγμα σχετικά με τις δυνατότητες κωδικού πρόσβασης. Ο ιστότοπος www.md5this.com χρησιμοποιεί έναν πίνακα ουράνιου τόξου για να σπάσει τους κωδικούς πρόσβασης. Θα εξετάσουμε τώρα μερικά από τα εργαλεία που χρησιμοποιούνται συνήθως


Τζον ο Ρίπερ


Ο John the Ripper χρησιμοποιεί τη γραμμή εντολών για να σπάσει τους κωδικούς πρόσβασης. Αυτό το καθιστά κατάλληλο για προχωρημένους χρήστες που είναι άνετοι να εργάζονται με εντολές. Χρησιμοποιεί τη λίστα λέξεων για να σπάσει τους κωδικούς πρόσβασης. Το πρόγραμμα είναι δωρεάν, αλλά η λίστα λέξεων πρέπει να αγοραστεί. Διαθέτει δωρεάν λίστες εναλλακτικών λέξεων που μπορείτε να χρησιμοποιήσετε. Επισκεφτείτε τον ιστότοπο του προϊόντος https://www.openwall.com/john/ για περισσότερες πληροφορίες και πώς να το χρησιμοποιήσετε.


Κάιν & Άμπελ


Ο Cain & Abel τρέχει στα παράθυρα. Χρησιμοποιείται για την ανάκτηση κωδικών πρόσβασης για λογαριασμούς χρηστών, την ανάκτηση κωδικών πρόσβασης Microsoft Access. δικτύωση, κλπ. Σε αντίθεση με τον John the Ripper, ο Cain & Abel χρησιμοποιεί ένα γραφικό περιβάλλον εργασίας χρήστη. Είναι πολύ συνηθισμένο μεταξύ των αρχάριων και των παιδικών σεναρίων λόγω της απλότητας χρήσης του. Επισκεφτείτε τον ιστότοπο του προϊόντος https://www.softpedia.com/get/Security/Decrypting-Decoding/Cain-and-Abel.shtml για περισσότερες πληροφορίες και πώς να το χρησιμοποιήσετε.





Ophcrack


Το Ophcrack είναι ένα πρόγραμμα περιήγησης κωδικού πρόσβασης στα Windows πολλαπλών πλατφορμών που χρησιμοποιεί πίνακες ουράνιων τόξων για να σπάσει τους κωδικούς πρόσβασης. Τρέχει σε Windows, Linux και Mac OS. Διαθέτει επίσης μια ενότητα για επιθέσεις ωμής βίας μεταξύ άλλων χαρακτηριστικών. Επισκεφτείτε τον ιστότοπο του προϊόντος https://ophcrack.sourceforge.io/ για περισσότερες πληροφορίες και πώς να το χρησιμοποιήσετε.



Μετρητές ρωγμών κωδικού πρόσβασης


    

  • Ένας οργανισμός μπορεί να χρησιμοποιήσει τις ακόλουθες μεθόδους για να μειώσει τις πιθανότητες θραύσης των κωδικών πρόσβασης
    • 

  • Αποφύγετε τους σύντομους και εύκολα προβλέψιμους κωδικούς πρόσβασης
    • 

  • Αποφύγετε τη χρήση κωδικών πρόσβασης με προβλέψιμα μοτίβα όπως το 11552266.
    • 

  • Οι κωδικοί πρόσβασης που είναι αποθηκευμένοι στη βάση δεδομένων πρέπει πάντα να είναι κρυπτογραφημένοι. Για κρυπτογράφηση md5, είναι καλύτερα να αλατίζετε τους κωδικούς πρόσβασης κωδικού πρόσβασης πριν από την αποθήκευσή τους. Το αλάτισμα περιλαμβάνει την προσθήκη κάποιας λέξης στον παρεχόμενο κωδικό πρόσβασης πριν από τη δημιουργία του κατακερματισμού.
    • 

  • Τα περισσότερα συστήματα εγγραφής έχουν δείκτες ισχύος κωδικού πρόσβασης, οι οργανισμοί πρέπει να υιοθετήσουν πολιτικές που ευνοούν υψηλούς αριθμούς κωδικού πρόσβασης.
    • 




Δραστηριότητα εισβολής: Hack τώρα!


Σε αυτό το πρακτικό σενάριο, θα σπάσουμε τον λογαριασμό των Windows με έναν απλό κωδικό πρόσβασης . Τα Windows χρησιμοποιούν κατακερματισμούς NTLM για κρυπτογράφηση κωδικών πρόσβασης . Θα χρησιμοποιήσουμε το εργαλείο cracker NTLM στο Cain και το Abel για να το κάνουμε αυτό.


Το Cain και το Abel cracker μπορούν να χρησιμοποιηθούν για τη διάσπαση κωδικών πρόσβασης χρησιμοποιώντας.


    

  • Λεξικό επίθεση
    • 

  • Ωμής βίας
    • 

  • Κρυπτοανάλυση
    • 



Θα χρησιμοποιήσουμε το λεξικό επίθεση σε αυτό το παράδειγμα. Θα χρειαστεί να κατεβάσετε τη λίστα λέξεων επίθεσης στο λεξικό εδώ 10k-Most-Common.zip


Για αυτήν την επίδειξη, δημιουργήσαμε έναν λογαριασμό που ονομάζεται Λογαριασμοί με τον κωδικό πρόσβασης qwerty στα Windows 7.



Βήματα διάσπασης κωδικού πρόσβασης


    

  • Ανοίξτε τον Κάιν και τον Άμπελ , θα εμφανιστεί η ακόλουθη κύρια οθόνη
    • 



    

  • Βεβαιωθείτε ότι η καρτέλα cracker είναι επιλεγμένη όπως φαίνεται παραπάνω
    • 

  • Κάντε κλικ στο κουμπί Προσθήκη στη γραμμή εργαλείων.
    • 



    

  • Θα εμφανιστεί το ακόλουθο παράθυρο διαλόγου
    • 



    

  • Οι τοπικοί λογαριασμοί χρηστών θα εμφανίζονται ως εξής. Σημειώστε ότι τα αποτελέσματα που εμφανίζονται θα είναι των λογαριασμών χρήστη στον τοπικό υπολογιστή σας.
    • 



    

  • Κάντε δεξί κλικ στον λογαριασμό που θέλετε να σπάσετε. Για αυτό το σεμινάριο, θα χρησιμοποιήσουμε τους λογαριασμούς ως λογαριασμό χρήστη.
    • 



    

  • Θα εμφανιστεί η ακόλουθη οθόνη
    • 



    

  • Κάντε δεξί κλικ στην ενότητα λεξικού και επιλέξτε Προσθήκη σε λίστα λίστα όπως φαίνεται παραπάνω
    • 

  • Περιηγηθείτε στο 10k πιο κοινό αρχείο.txt που μόλις κατεβάσατε
    • 



    

  • Κάντε κλικ στο κουμπί έναρξης
    • 

  • Εάν ο χρήστης χρησιμοποίησε έναν απλό κωδικό πρόσβασης όπως το qwerty, τότε θα πρέπει να έχετε τα ακόλουθα αποτελέσματα.
    • 



    

  • Σημείωση : ο χρόνος που απαιτείται για τη διάσπαση του κωδικού πρόσβασης εξαρτάται από την ισχύ του κωδικού πρόσβασης, την πολυπλοκότητα και την ισχύ επεξεργασίας του μηχανήματός σας.
    • 

  • Εάν ο κωδικός πρόσβασης δεν έχει σπάσει χρησιμοποιώντας μια επίθεση στο λεξικό, μπορείτε να δοκιμάσετε βίαιες ή επιθέσεις κρυπτοανάλυσης.
    • 




Περίληψη


    

  • Το cracking password είναι η τέχνη της ανάκτησης αποθηκευμένων ή μεταδιδόμενων κωδικών πρόσβασης.
    • 

  • Η ισχύς του κωδικού πρόσβασης καθορίζεται από το μήκος, την πολυπλοκότητα και την απρόβλεπτη τιμή κωδικού πρόσβασης.
    • 

  • Οι κοινές τεχνικές κωδικού πρόσβασης περιλαμβάνουν επιθέσεις λεξικού, brute force, rainbow tables, spidering και cracking.
    • 

  • Τα εργαλεία διάσπασης κωδικού πρόσβασης απλοποιούν τη διαδικασία διάσπασης κωδικών πρόσβασης.
    •