Kaj je cracking geslo?
Razbijanje gesel je postopek poskusa nepooblaščenega dostopa do omejenih sistemov z uporabo običajnih gesel ali algoritmov, ki ugibajo gesla. Z drugimi besedami, to je umetnost pridobivanja pravilnega gesla, ki omogoča dostop do sistema, zaščitenega z metodo overjanja.
Razbijanje gesel uporablja številne tehnike za dosego svojih ciljev. Postopek razbijanja lahko vključuje primerjavo shranjenih gesel s seznamom besed ali uporabo algoritmov za ustvarjanje gesel, ki se ujemajo
V tej vadnici vam bomo predstavili običajne tehnike razbijanja gesel in protiukrepe, ki jih lahko uporabite za zaščito sistemov pred takšnimi napadi.
Teme v tej vadnici
- Kaj je moč gesla?
- Tehnike razbijanja gesel
- Orodja za razbijanje gesel
- Protiukrepi za razbijanje gesel
- Hacking Assignment: Hack Now!
Kaj je moč gesla?
Moč gesla je merilo učinkovitosti gesla, da se upre napadom zlom gesla . Moč gesla določa:
- Dolžina : število znakov, ki jih vsebuje geslo.
- Kompleksnost : ali uporablja kombinacijo črk, številk in simbolov?
- Nepredvidljivost : je to, kar lahko napadalec zlahka ugane?
Oglejmo si zdaj praktični primer. Uporabili bomo namreč tri gesla
1. geslo
2. geslo1
3. # geslo1 $
V tem primeru bomo pri ustvarjanju gesel uporabili indikator moči gesla za Cpanel. Spodnje slike prikazujejo jakost gesla vsakega od zgoraj naštetih gesel.
Opomba : uporabljeno geslo je geslo, moč je 1 in je zelo šibko.
Opomba : uporabljeno geslo je geslo1, moč je 28 in je še vedno šibko.
Opomba : Uporabljeno geslo je # password1 $, moč je 60 in je močno.
Večja kot je številka jakosti, boljše je geslo.
Predpostavimo, da moramo zgoraj navedena gesla shraniti z uporabo šifriranja md5. Za pretvorbo gesel v md5 haše bomo uporabili spletni generator zgoščevanja md5.
Spodnja tabela prikazuje zgoščena gesla
| Geslo | MD5 Hash | Indikator trdnosti Cpanel |
|---|---|---|
| geslo | 5f4dcc3b5aa765d61d8327deb882cf99 | 1. |
| geslo1 | 7c6a180b36896a0a8c02787eeafb0e4c | 28. |
| # geslo1 $ | 29e08fb7103c327d68327f23d8d9256c | 60 |
Zdaj bomo uporabili http://www.md5this.com/ za razbijanje zgornjih zgoščenk. Spodnje slike prikazujejo rezultate razbijanja gesel za zgornja gesla.
Kot lahko vidite iz zgornjih rezultatov, nam je uspelo razbiti prvo in drugo geslo, ki sta imeli nižji trdnosti. Tretjega gesla, ki je bilo daljše, zapleteno in nepredvidljivo, nam ni uspelo razbiti. Imel je večjo trdnostno številko.
Tehnike razbijanja gesel
Za razbijanje gesel je mogoče uporabiti številne tehnike . Spodaj bomo opisali najpogosteje uporabljene;
- Slovar napad - Ta metoda vključuje uporabo seznama besed za primerjavo z uporabniškimi gesli.
- Napad s silo - Ta metoda je podobna napadu na slovar. Napadi s silo uporabljajo algoritme, ki kombinirajo alfanumerične znake in simbole, da bi našli gesla za napad. Na primer, geslo z vrednostjo "geslo" lahko preizkusite tudi kot besedo p @ $$ z uporabo surove sile.
- Napad mavrične tabele - ta metoda uporablja vnaprej izračunana zgoščena števila. Predpostavimo, da imamo bazo podatkov, ki shranjuje gesla kot md5 zgoščena. Ustvarimo lahko drugo bazo podatkov, ki vsebuje md5 zgoščena gesla. Nato lahko primerjamo zgoščeno geslo, ki ga imamo, s shranjenimi zgoščenkami v zbirki podatkov. Če se najde ujemanje, imamo geslo.
- Ugani - Kot že ime pove, ta metoda vključuje ugibanje. Gesla, kot so qwerty, geslo, skrbništvo itd., Se pogosto uporabljajo ali nastavijo kot privzeta gesla. Če niso bili spremenjeni ali če je uporabnik pri izbiri gesel nepreviden, jih lahko zlahka ogrozi.
- Spidering - večina organizacij uporablja gesla, ki vsebujejo podatke o podjetju. Te informacije lahko najdete na spletnih mestih podjetij, v družabnih omrežjih, kot so facebook, twitter itd. Spidering zbira informacije iz teh virov, da pripravi sezname besed. Seznam besed se nato uporablja za izvajanje slovarjev in napadov s silovito silo.
Vzorčni seznam besed za napad na slovarje pajkov
1976smith jones acme built|to|last golfing|chess|soccer Orodje za razbijanje gesel
To so programi, ki se uporabljajo za razbijanje uporabniških gesel . Podobno orodje smo si že ogledali v zgornjem primeru o jakostih gesel. Spletno mesto www.md5this.com uporablja mavrično mizo za razbijanje gesel. Zdaj si bomo ogledali nekaj najpogosteje uporabljenih orodij
Janez Razparač
John The Ripper uporablja ukazni poziv za lomljenje gesel. Zaradi tega je primeren za napredne uporabnike, ki radi delajo z ukazi. Uporablja za seznam besed za razbijanje gesel. Program je brezplačen, vendar je treba kupiti besedni seznam. Ima brezplačne nadomestne sezname besed, ki jih lahko uporabite. Obiščite spletno mesto izdelka https://www.openwall.com/john/ za več informacij in kako ga uporabljati.
Kajn in Abel
Cain & Abel teče po oknih. Uporablja se za obnovitev gesel za uporabniške račune, obnovitev gesel za Microsoft Access; vohanje po omrežju itd. Za razliko od Johna Razparača Cain & Abel uporablja grafični uporabniški vmesnik. Zaradi preproste uporabe je zelo pogost med novinci in kiddiki. Obiščite spletno mesto izdelka https://www.softpedia.com/get/Security/Decrypting-Decoding/Cain-and-Abel.shtml za več informacij in kako ga uporabljati.
Ophcrack
Ophcrack je sistem za razbijanje gesel za več platform, ki uporablja mavrične tabele za razbijanje gesel. Deluje v sistemih Windows, Linux in Mac OS. Poleg drugih funkcij ima tudi modul za napade surove sile. Obiščite spletno mesto izdelka https://ophcrack.sourceforge.io/ za več informacij in kako ga uporabljati.
Protiukrepi za razbijanje gesel
- Organizacija lahko z naslednjimi metodami zmanjša možnosti za zlom gesel
- Izogibajte se kratkim in lahko predvidljivim geslom
- Izogibajte se uporabi gesel s predvidljivimi vzorci, kot je 11552266.
- Gesla, shranjena v zbirki podatkov, morajo biti vedno šifrirana. Za šifriranje md5 je bolje, da razpršite gesla gesel, preden jih shranite. Soljenje vključuje dodajanje besede v geslo, ki ga dobite, preden ustvarite razpršitev.
- Večina sistemov za registracijo ima kazalnike moči gesel, organizacije morajo sprejeti politike, ki podpirajo visoke številke moči gesel.
Dejavnost vdiranja: Hack Now!
V tem praktičnem scenariju bomo z enostavnim geslom zlomili račun Windows . Windows uporablja šifrirne datoteke NTLM za šifriranje gesel . Za to bomo uporabili orodje za krekerje NTLM v Cain in Abel.
Cain in Abel cracker lahko uporabite za razbijanje gesel z uporabo;
- Slovar napad
- Surova sila
- Kriptanaliza
V tem primeru bomo uporabili slovarski napad. Seznam besed za napad na slovar boste morali prenesti tukaj 10k-Most-Common.zip
Za to predstavitev smo ustvarili račun, imenovan Računi z geslom qwerty v sistemu Windows 7.
Koraki za razbijanje gesel
- Odprite Cain in Abel , dobili boste naslednji glavni zaslon
- Prepričajte se, da je izbran jeziček za kreker, kot je prikazano zgoraj
- V orodni vrstici kliknite gumb Dodaj.
- Pojavi se naslednje pogovorno okno
- Lokalni uporabniški računi bodo prikazani na naslednji način. Upoštevajte, da bodo prikazani rezultati uporabniških računov na vašem lokalnem računalniku.
- Z desno miškino tipko kliknite račun, ki ga želite zlomiti. V tej vadnici bomo kot uporabniški račun uporabili račune.
- Prikaže se naslednji zaslon
- Z desno miškino tipko kliknite odsek slovarja in izberite meni Dodaj na seznam, kot je prikazano zgoraj
- Poiščite 10k najpogostejšo datoteko.txt, ki ste jo pravkar prenesli
- Kliknite gumb Start
- Če je uporabnik uporabil preprosto geslo, kot je qwerty, bi lahko dobili naslednje rezultate.
- Opomba : čas, potreben za razbijanje gesla, je odvisen od moči gesla, zahtevnosti in procesorske moči vaše naprave.
- Če geslo ni zlomljeno z uporabo slovarskega napada, lahko poskusite s surovo silo ali napadi kriptoanalize.
Povzetek
- Razbijanje gesel je umetnost obnavljanja shranjenih ali posredovanih gesel.
- Moč gesla je odvisna od dolžine, zapletenosti in nepredvidljivosti vrednosti gesla.
- Pogoste tehnike gesla vključujejo slovarske napade, surovo silo, mavrične mize, pajkanje in pokanje.
- Orodja za razbijanje gesel poenostavijo postopek razbijanja gesel.