Kaip nulaužti slaptažodį

Turinys:

Anonim

Kas yra slaptažodžių nulaužimas?

Slaptažodžių nulaužimas yra bandymas gauti neteisėtą prieigą prie ribotų sistemų naudojant įprastus slaptažodžius ar algoritmus, kurie atspėja slaptažodžius. Kitaip tariant, tai yra teisingo slaptažodžio gavimo menas, suteikiantis prieigą prie sistemos, apsaugotos autentifikavimo metodu.

Slaptažodžių nulaužimas naudoja daugybę būdų savo tikslams pasiekti. Krekingo procesas gali apimti saugomų slaptažodžių palyginimą su žodžių sąrašu arba algoritmų naudojimą generuojant atitinkamus slaptažodžius

Šioje pamokoje mes supažindinsime jus su įprastais slaptažodžių nulaužimo būdais ir atsakomosiomis priemonėmis, kurias galite įgyvendinti, kad apsaugotumėte sistemas nuo tokių išpuolių.

Šioje pamokoje aptartos temos

  • Kas yra slaptažodžio stiprumas?
  • Slaptažodžių nulaužimo būdai
  • Slaptažodžių nulaužimo įrankiai
  • Slaptažodžio nulaužimo skaitikliai
  • Įsilaužimo užduotis: „Hack Now“!

Kas yra slaptažodžio stiprumas?

Slaptažodžio stiprumas yra slaptažodžio efektyvumo, norint atsispirti slaptažodžių nulaužimo atakoms, matas . Slaptažodžio stiprumą lemia;

  • Ilgis : slaptažodžio simbolių skaičius.
  • Sudėtingumas : ar jame naudojamas raidžių, skaičių ir simbolių derinys?
  • Nenuspėjamumas : ar tai gali lengvai atspėti užpuolikas?

Dabar pažvelkime į praktinį pavyzdį. Mes naudosime tris slaptažodžius, būtent

1. slaptažodis

2. slaptažodis1

3. # slaptažodis1 $

Šiame pavyzdyje kurdami slaptažodžius naudosime „Cpanel“ slaptažodžio stiprumo indikatorių. Žemiau pateiktuose paveikslėliuose parodyta visų aukščiau išvardytų slaptažodžių stiprioji pusė.

Pastaba : naudojamas slaptažodis yra 1 stiprumo ir labai silpnas.

Pastaba : naudojamas slaptažodis yra password1, stiprumas yra 28, ir jis vis dar silpnas.

Pastaba : naudojamas slaptažodis yra # password1 $, stiprumas yra 60 ir jis stiprus.

Kuo didesnis stiprumo skaičius, tuo geresnis slaptažodis.

Tarkime, kad aukščiau nurodytus slaptažodžius turime saugoti naudodami md5 šifravimą. Norėdami konvertuoti savo slaptažodžius į md5 maišos, naudosime internetinį „md5“ maišos generatorių.

Žemiau esančioje lentelėje rodomi slaptažodžių maišos

Slaptažodis MD5 Hash Cpanel stiprumo indikatorius
Slaptažodis 5f4dcc3b5aa765d61d8327deb882cf99 1
slaptažodis1 7c6a180b36896a0a8c02787eeafb0e4c 28
# slaptažodis1 $ 29e08fb7103c327d68327f23d8d9256c 60

Dabar naudosime svetainę http://www.md5this.com/, norėdami nulaužti aukščiau nurodytus maišus. Žemiau pateiktuose paveikslėliuose rodomi aukščiau nurodytų slaptažodžių slaptažodžių nulaužimo rezultatai.

Kaip matote iš pirmiau pateiktų rezultatų, mums pavyko nulaužti pirmąjį ir antrąjį slaptažodžius, kurių stiprumo numeriai buvo mažesni. Mums nepavyko nulaužti trečiojo ilgesnio, sudėtingo ir nenuspėjamo slaptažodžio. Jis turėjo didesnį stiprumo skaičių.

Slaptažodžių nulaužimo būdai

Yra keletas būdų, kuriuos galima naudoti norint nulaužti slaptažodžius . Toliau aprašysime dažniausiai naudojamus;

  • Žodyno ataka - šis metodas apima žodžių sąrašo naudojimą norint palyginti su vartotojo slaptažodžiais.
  • Žiaurios jėgos ataka - šis metodas yra panašus į žodyno ataką. Žiaurios jėgos atakos naudoja algoritmus, kurie sujungia raidinius ir skaitmeninius simbolius ir simbolius, kad sugalvotų atakos slaptažodžius. Pavyzdžiui, reikšmės „slaptažodis“ slaptažodį taip pat galima išbandyti kaip žodį „p @ $$“, naudojant žiaurios jėgos ataką.
  • Vaivorykštės stalo ataka - šis metodas naudoja iš anksto apskaičiuotas maišas. Tarkime, kad turime duomenų bazę, kurioje slaptažodžiai saugomi kaip md5 maišos. Mes galime sukurti kitą duomenų bazę, kurioje yra md5 dažniausiai naudojamų slaptažodžių maišos. Tada mes galime palyginti savo slaptažodžių maišos su saugomais maišos duomenų bazėje. Jei randama atitiktis, mes turime slaptažodį.
  • Spėk - kaip rodo pavadinimas, šis metodas apima spėliojimą. Tokie slaptažodžiai kaip qwerty, slaptažodis, administratorius ir kt. Paprastai naudojami arba nustatomi kaip numatytieji slaptažodžiai. Jei jie nebuvo pakeisti arba vartotojas yra neatsargus rinkdamasis slaptažodžius, juos galima lengvai pažeisti.
  • Spidering - dauguma organizacijų naudoja slaptažodžius, kuriuose yra įmonės informacija. Šią informaciją galite rasti įmonės interneto svetainėse, socialinėse žiniasklaidos priemonėse, tokiose kaip „Facebook“, „Twitter“ ir kt., „Spidering“ renka informaciją iš šių šaltinių, kad sudarytų žodžių sąrašus. Tada žodžių sąrašas naudojamas žodyno ir grubios jėgos atakoms atlikti.

„Spidering“ žodyno atakos žodžių sąrašas 

1976 smith jones acme built|to|last golfing|chess|soccer  

Slaptažodžių nulaužimo įrankis


Tai yra programinės įrangos programos, naudojamos nulaužti vartotojo slaptažodžius . Mes jau pažvelgėme į panašų įrankį aukščiau pateiktame pavyzdyje apie slaptažodžių stipriąsias puses. Svetainėje www.md5this.com slaptažodžių nulaužimui naudojama vaivorykštės lentelė. Dabar mes apžvelgsime keletą dažniausiai naudojamų įrankių


Jonas Skerdikas


Jonas Skerdikas naudoja komandų eilutę, kad nulaužtų slaptažodžius. Todėl jis tinka patyrusiems vartotojams, kuriems patogu dirbti su komandomis. Jis naudoja žodžių sąrašą, kad nulaužtų slaptažodžius. Programa nemokama, tačiau reikia nusipirkti žodžių sąrašą. Jame yra nemokamų alternatyvių žodžių sąrašų, kuriuos galite naudoti. Apsilankykite produkto svetainėje https://www.openwall.com/john/, jei norite gauti daugiau informacijos ir kaip ją naudoti.


Kainas ir Abelis


Kainas ir Abelis veikia ant langų. Jis naudojamas vartotojo abonementų slaptažodžiams atkurti, „Microsoft Access“ slaptažodžiams atkurti; tinklų uostymas ir kt. Skirtingai nei Jonas Skerdikas, Kainas ir Abelis naudoja grafinę vartotojo sąsają. Tai labai paplitusi tarp naujokų ir scenarijaus vaikų dėl paprasto naudojimo. Apsilankykite produkto svetainėje https://www.softpedia.com/get/Security/Decrypting-Decoding/Cain-and-Abel.shtml, kad gautumėte daugiau informacijos ir kaip ja naudotis.





Ophcrack


„Ophcrack“ yra daugialypė platforma „Windows“ slaptažodžių skaldyklė, kuri naudoja vaivorykštės lenteles slaptažodžiams nulaužti. Jis veikia „Windows“, „Linux“ ir „Mac OS“. Be kitų funkcijų, jis taip pat turi žiaurios jėgos atakų modulį. Norėdami gauti daugiau informacijos ir kaip ją naudoti, apsilankykite produkto svetainėje https://ophcrack.sourceforge.io/.



Slaptažodžio nulaužimo skaitikliai


    

  • Organizacija gali naudoti šiuos metodus, kad sumažintų slaptažodžių įtrūkimo tikimybę
    • 

  • Venkite trumpų ir lengvai nuspėjamų slaptažodžių
    • 

  • Venkite naudoti slaptažodžius su nuspėjamais modeliais, pvz., 11552266.
    • 

  • Duomenų bazėje saugomi slaptažodžiai visada turi būti užšifruoti. Jei naudojate md5 šifruotes, geriau jas sunaikinti prieš jas saugant. Sūdant reikia pridėti žodį prie pateikto slaptažodžio prieš kuriant maišos.
    • 

  • Daugumoje registracijos sistemų yra slaptažodžio stiprumo indikatoriai, organizacijos turi patvirtinti politiką, kuri palaiko aukštus slaptažodžių stiprumo skaičius.
    • 




Įsilaužimas: įsilaužti dabar!


Pagal šį praktinį scenarijų ketiname nulaužti „Windows“ paskyrą naudodami paprastą slaptažodį . „Windows“ naudoja NTLM maišos slaptažodžių šifravimui . Norėdami tai padaryti, naudosime NTLM krekingo įrankį Kainyje ir Abelyje.


Kainas ir „Abel“ krekeriai gali būti naudojami norint nulaužti slaptažodžius naudojant;


    

  • Žodyno ataka
    • 

  • Brutali jėga
    • 

  • Kriptanalizė
    • 



Šiame pavyzdyje naudosime žodyno ataką. Čia turėsite atsisiųsti žodyno atakos žodžių sąrašą 10k-Most-Common.zip


Šiai demonstracijai „Windows 7“ sukūrėme paskyrą pavadinimu „Paskyros“ su slaptažodžiu „qwerty“.



Slaptažodžio nulaužimo veiksmai


    

  • Atidarykite Kainą ir Abelį , gausite šį pagrindinį ekraną
    • 



    

  • Įsitikinkite, kad krekingo skirtukas pasirinktas, kaip parodyta aukščiau
    • 

  • Įrankių juostoje spustelėkite mygtuką Pridėti.
    • 



    

  • Bus parodytas toks dialogo langas
    • 



    

  • Vietinės vartotojo paskyros bus rodomos taip. Atminkite, kad rodomi jūsų vietinio kompiuterio vartotojo abonementų rezultatai.
    • 



    

  • Dešiniuoju pelės mygtuku spustelėkite paskyrą, kurią norite nulaužti. Šioje pamokoje mes naudosime paskyras kaip vartotojo abonementą.
    • 



    

  • Pasirodys toks ekranas
    • 



    

  • Dešiniuoju pelės mygtuku spustelėkite žodyno skyrių ir pasirinkite Pridėti prie sąrašo meniu, kaip parodyta aukščiau
    • 

  • Naršykite 10k labiausiai paplitusio.txt failo, kurį ką tik atsisiuntėte
    • 



    

  • Spustelėkite mygtuką Pradėti
    • 

  • Jei vartotojas naudojo paprastą slaptažodį, pvz., „Qwerty“, turėtumėte sugebėti gauti šiuos rezultatus.
    • 



    

  • Pastaba : slaptažodžio sugadinimo laikas priklauso nuo slaptažodžio stiprumo, sudėtingumo ir jūsų kompiuterio apdorojimo galios.
    • 

  • Jei slaptažodis nėra nulaužtas naudojant žodyno ataką, galite pabandyti grubios jėgos ar kriptanalizės išpuolius.
    • 




Santrauka


    

  • Slaptažodžių nulaužimas yra menas atkurti saugomus ar perduotus slaptažodžius.
    • 

  • Slaptažodžio stiprumą lemia slaptažodžio vertės ilgis, sudėtingumas ir nenuspėjamumas.
    • 

  • Įprastos slaptažodžių technikos apima žodyno atakas, žiaurią jėgą, vaivorykštės lenteles, vorą ir skilimą.
    • 

  • Slaptažodžių nulaužimo įrankiai supaprastina slaptažodžių įtrūkimų procesą.
    •