Как взломать пароль? Что такое Cracking?

Регистрация
09.01.2018
Сообщения
180
Симпатии
86
Баллы
58
#1
Что такое Cracking?
Восстание паролей - это процесс попытки получить несанкционированный доступ к ограниченным системам с использованием общих паролей или алгоритмов, которые предполагают пароли. Другими словами, это искусство получения правильного пароля, который дает доступ к системе, защищенной методом аутентификации.
Для взлома паролей используется ряд методов для достижения своих целей. Процесс взлома может включать либо сравнение сохраненных паролей со списком слов, либо использование алгоритмов для генерации паролей, которые соответствуют


Темы, рассмотренные в этом учебном пособии:
  • Что такое сила пароля?
  • Методы взлома пароля
  • Инструменты для взлома пароля
  • Меры борьбы с трещинами
  • Назначение взлома: взломать сейчас!
1. Что такое сила пароля?

Сила пароля - это мера эффективности паролей, чтобы противостоять атакам с взломом пароля . Сила пароля определяется:
  • Длина : количество символов, содержащихся в пароле.
  • Сложность : используется ли комбинация букв, цифр и символа?
  • Непредсказуемость : это что-то, что может быть легко понято атакующим?
Давайте посмотрим на практический пример. Мы будем использовать три пароля, а именно:
1. password
2. password1
3. #password1$


В этом примере мы будем использовать индикатор прочности пароля Cpanel при создании паролей. На приведенных ниже рисунках показаны сильные стороны пароля для каждого из перечисленных паролей.


Примечание . Используемый пароль - это password, который равен 1, и он очень слаб.


Примечание : для пароля используется password1, сила 28, и он все еще слаб.


Примечание . Используемый пароль: #password1$, сила 60, и она сильная.

Чем выше число прочности, тем лучше пароль. Предположим, что мы должны хранить наши выше пароли с использованием шифрования md5. Мы будем использовать онлайн- md5convertor для преобразования наших паролей в хэши md5.

В приведенной ниже таблице показаны хэши паролей:

парольMD5 Hash Индикатор прочности Cpanel
password 5f4dcc3b5aa765d61d8327deb882cf99 1
password1 7c6a180b36896a0a8c02787eeafb0e4c 28
#Password1 $ 29e08fb7103c327d68327f23d8d9256c 60


Теперь мы будем использовать md5 для взлома вышеуказанных хэшей. На приведенных ниже изображениях показаны результаты взлома пароля для вышеуказанных паролей.


Как видно из приведенных выше результатов, нам удалось взломать первый и второй пароли с более низкими числами. Мы не смогли взломать третий пароль, который был длиннее, сложным и непредсказуемым. У него было более высокое число.

2. Методы взлома пароля

Существует несколько методов, которые можно использовать для взлома паролей . Ниже мы опишем наиболее часто используемые:
  • Атака словаря. Этот метод предполагает использование словарного списка для сравнения с паролями пользователей.
  • Атака грубой силы - этот метод похож на атаку словаря. Атаки с использованием грубой силы используют алгоритмы, которые объединяют буквенно-цифровые символы и символы, чтобы придумать пароли для атаки. Например, пароль значения «пароль» также можно использовать как слово p @ $$, используя атаку грубой силы.
  • Атака в Rainbow table. Этот метод использует предварительно вычисленные хэши. Предположим, что у нас есть база данных, в которой хранятся пароли в виде хешей md5. Мы можем создать другую базу данных с хешами md5 часто используемых паролей. Затем мы можем сравнить хэш-код пароля с сохраненными хэшами в базе данных. Если совпадение найдено, то у нас есть пароль.
  • Угадайте - как следует из названия, этот метод предполагает угадывание. Пароли, такие как qwerty, password, admin и т. Д., Обычно используются или устанавливаются как пароли по умолчанию. Если они не были изменены или пользователь небрежен при выборе паролей, они могут быть легко скомпрометированы.
  • Spidering - Большинство организаций используют пароли, содержащие информацию о компании. Эта информация может быть найдена на веб-сайтах компаний, в социальных сетях, таких как facebook, twitter и т. Д. Spidering собирает информацию из этих источников, чтобы составить список слов. Список слов затем используется для выполнения атак с использованием словаря и грубой силы.
Spidering образец словаря:
- 1976 год <год рождения основателя>
- smith jones <имя основателя>
- acme <название компании / инициалы>
- построенный | до | последний <слова в видении компании / миссии>
- игра в гольф | шахматы | футбол <учредители хобби

3. Инструмент для взлома пароля
Это программы, которые используются для взлома паролей пользователей . Мы уже рассмотрели аналогичный инструмент в приведенном выше примере по силе пароля. Теперь мы рассмотрим некоторые из наиболее часто используемых инструментов:

- Джон Потрошитель
John the Ripper использует командную строку для взлома паролей. Это делает его подходящим для продвинутых пользователей, которым удобно работать с командами. Он использует список слов для взлома паролей. Программа бесплатна, но список слов должен быть куплен. Он имеет бесплатные альтернативные списки слов, которые вы можете использовать.

- Cain & Abel
Cain & Abel работает на окнах. Он используется для восстановления паролей для учетных записей пользователей, восстановления паролей Microsoft Access; сетевое обнюхивание и т. д. В отличие от John the Ripper, Cain & Abel использует графический интерфейс пользователя. Это очень распространено среди новичков и сценаристов из-за его простоты использования.

- Ophcrack
Ophcrack - кросс-платформенный взломщик паролей Windows, который использует таблицы радуги для взлома паролей. Он работает в Windows,
You do not have permission to view link Войти или зарегистрироваться
и Mac OS. У этого также есть модуль для нападений грубой силы среди других особенностей.

4. Меры борьбы с трещинами
  • Организация может использовать следующие методы для снижения вероятности взлома паролей
  • Избегайте коротких и легко предсказуемых паролей
  • Избегайте использования паролей с предсказуемыми шаблонами, такими как 11552266.
  • Пароли, хранящиеся в базе данных, всегда должны быть зашифрованы. Для шифрования md5 лучше солить хэши паролей, прежде чем хранить их. Соление включает добавление некоторого слова к предоставленному паролю перед созданием хэша.
  • В большинстве систем регистрации есть индикаторы прочности пароля, организации должны принять политики, которые поддерживают высокие показатели надежности пароля.
5. Назначение взлома: взломать сейчас!
В этом практическом сценарии мы собираемся взломать учетную запись Windows с помощью простого пароля . Windows использует хеши NTLM для шифрования паролей. Мы будем использовать инструмент для взлома NTLM в Cain и Abel для этого.

Cain и Abel cracker могут использоваться для взлома паролей:
  • Атака словаря
  • Грубая сила
  • криптоанализа
В этом примере мы будем использовать атаку словаря. Вам понадобится скачать словарь
You do not have permission to view link Войти или зарегистрироваться
.
Для этой демонстрации мы создали учетную запись Accounts с паролем qwerty в Windows 7.

 
Регистрация
09.01.2018
Сообщения
180
Симпатии
86
Баллы
58
#2
Шаги взлома пароля:

  • Откройте Cain и Abel , вы получите следующий главный экран

  • Убедитесь, что вкладка взломщика выбрана так, как показано выше.
  • Нажмите кнопку «Добавить» на панели инструментов.

  • Появится следующее:

  • Локальные данные юзеров будут отображаться следующим образом. Обратите внимание, что результаты будут отображаться на данных юзеров на вашем ПК.

  • Щелкните правой кнопкой мыши учетную запись, которую вы хотите взломать. Для этого урока мы будем использовать учетные записи в качестве учетной записи пользователя.

  • Появится следующий экран

  • Щелкните правой кнопкой мыши на секции словаря и выберите «Добавить в список», как показано выше.
  • Перейдите к 10k most common.txt файлу, который вы только что скачали

  • Нажмите кнопку «Пуск»
  • Если пользователь использовал простой пароль, например qwerty, то вы должны получить следующие результаты.

  • Примечание : время взлома пароля зависит от силы пароля, сложности и вычислительной мощности вашего устройства.
  • Если пароль не взломан, используя атаку словаря, вы можете попробовать атаки грубой силы или криптоанализа.
Резюме
  • Восстание паролей - это искусство восстановления сохраненных или переданных паролей.
  • Сила пароля определяется длиной, сложностью и непредсказуемостью значения пароля.
  • Общие методы паролей включают словарные атаки, грубую силу, радужные таблицы, пауки и взлома.
  • Инструменты для взлома пароля упрощают процесс взлома паролей.
 
Регистрация
24.12.2017
Сообщения
43
Симпатии
15
Баллы
8
#3
Взлом паролей действительно проблематичное дело, особенно если он не из словаря. Палки в колеса добавляют и антивирусы которые все инструменты блокируют. Не хватает статьи о том как шифровать инструменты чтобы их можно было запустить
 
Регистрация
09.01.2018
Сообщения
180
Симпатии
86
Баллы
58
#4
Взлом паролей действительно проблематичное дело, особенно если он не из словаря. Палки в колеса добавляют и антивирусы которые все инструменты блокируют. Не хватает статьи о том как шифровать инструменты чтобы их можно было запустить
мы продолжим информировать!)
 
Регистрация
10.02.2018
Сообщения
15
Симпатии
10
Баллы
3
#6
Чего у меня вот так?
всё повторял за тобой)
 
Последнее редактирование:
Регистрация
13.02.2018
Сообщения
43
Симпатии
35
Баллы
23
#7
интересная статья, все подробно расписал
 
Регистрация
24.12.2017
Сообщения
43
Симпатии
15
Баллы
8
#8
Ждем продолжения!
 
Регистрация
28.04.2018
Сообщения
9
Симпатии
0
Баллы
1
#9
Это работает на учётной записи без прав админа?
 
Регистрация
11.09.2018
Сообщения
5
Симпатии
0
Баллы
1
#11
Старовато.
1) Только с админ правами
2) Нахрена тащить пароли из файла, если можно средствами mimikatz их подсмотреть =) ?
3) Если все же нужен пароль от незалогиненного пользователя и есть доступ к хешам, то тут ophcrack с таблицами в помощь. Берет отчень сложные пароли.