Cara Memecahkan Kata Laluan

Isi kandungan:

Anonim

Apakah Keretakan Kata Laluan?

Keretakan kata laluan adalah proses percubaan untuk mendapatkan akses Tanpa izin ke sistem terhad menggunakan kata laluan atau algoritma biasa yang meneka kata laluan. Dengan kata lain, seni memperoleh kata laluan yang betul yang memberi akses ke sistem yang dilindungi oleh kaedah pengesahan.

Keretakan kata laluan menggunakan sebilangan teknik untuk mencapai tujuannya. Proses retak boleh melibatkan membandingkan kata laluan yang disimpan dengan senarai kata atau menggunakan algoritma untuk menghasilkan kata laluan yang sesuai

Dalam Tutorial ini, kami akan memperkenalkan anda kepada teknik retak kata laluan yang biasa dan langkah-langkah pencegahan yang dapat anda laksanakan untuk melindungi sistem daripada serangan tersebut.

Topik yang dibahas dalam tutorial ini

  • Apakah kekuatan kata laluan?
  • Teknik memecahkan kata laluan
  • Alat Pemecahan Kata Laluan
  • Langkah-langkah Penghitung Keretakan Kata Laluan
  • Tugasan Peretasan: Hack Sekarang!

Apakah kekuatan kata laluan?

Kekuatan kata laluan adalah ukuran kecekapan kata laluan untuk menentang serangan retak kata laluan . Kekuatan kata laluan ditentukan oleh;

  • Panjang : bilangan watak yang terdapat dalam kata laluan.
  • Kerumitan : adakah ia menggunakan gabungan huruf, angka, dan simbol?
  • Ketidakpastian : adakah sesuatu yang dapat ditebak dengan mudah oleh penyerang?

Sekarang mari kita lihat contoh praktikal. Kami akan menggunakan tiga kata laluan iaitu

1. kata laluan

2. kata laluan1

3. # kata laluan1 $

Untuk contoh ini, kami akan menggunakan penunjuk kekuatan kata laluan Cpanel semasa membuat kata laluan. Gambar di bawah menunjukkan kekuatan kata laluan setiap kata laluan yang disenaraikan di atas.

Catatan : kata laluan yang digunakan adalah kata laluan kekuatannya 1, dan sangat lemah.

Catatan : kata laluan yang digunakan adalah kata laluan1 kekuatannya adalah 28, dan masih lemah.

Catatan : Kata laluan yang digunakan ialah # kata sandi1 $ kekuatannya 60 dan kuat.

Semakin tinggi bilangan kekuatannya, semakin baik kata laluannya.

Anggaplah bahawa kita harus menyimpan kata laluan di atas menggunakan enkripsi md5. Kami akan menggunakan penjana hash md5 dalam talian untuk menukar kata laluan kami menjadi hash md5.

Jadual di bawah menunjukkan hash kata laluan

Kata Laluan Hash MD5 Petunjuk Kekuatan Cpanel
kata laluan 5f4dcc3b5aa765d61d8327deb882cf99 1
kata laluan1 7c6a180b36896a0a8c02787eeafb0e4c 28
# kata laluan1 $ 29e08fb7103c327d68327f23d8d9256c 60

Kami sekarang akan menggunakan http://www.md5this.com/ untuk memecahkan hash di atas. Gambar di bawah menunjukkan keputusan memecahkan kata laluan untuk kata laluan di atas.

Seperti yang anda lihat dari hasil di atas, kami berjaya memecahkan kata laluan pertama dan kedua yang mempunyai bilangan kekuatan yang lebih rendah. Kami tidak berjaya memecahkan kata laluan ketiga yang lebih panjang, kompleks dan tidak dapat diramalkan. Ia mempunyai bilangan kekuatan yang lebih tinggi.

Teknik memecahkan kata laluan

Ada sejumlah teknik yang dapat digunakan untuk memecahkan kata laluan . Kami akan menerangkan yang paling biasa digunakan di bawah;

  • Serangan kamus - Kaedah ini melibatkan penggunaan senarai kata untuk membandingkan dengan kata laluan pengguna.
  • Serangan Brute force - Kaedah ini serupa dengan serangan kamus. Serangan kekerasan menggunakan algoritma yang menggabungkan watak dan simbol alpha-numeric untuk menghasilkan kata laluan untuk serangan tersebut. Sebagai contoh, kata laluan dengan nilai "kata laluan" juga boleh dicuba sebagai kata p @ $$ menggunakan serangan brute force.
  • Serangan meja pelangi - Kaedah ini menggunakan hash yang telah dikira sebelumnya. Mari kita anggap bahawa kita mempunyai pangkalan data yang menyimpan kata laluan sebagai hash md5. Kita boleh membuat pangkalan data lain yang mempunyai hash md5 kata laluan yang biasa digunakan. Kita kemudian dapat membandingkan hash kata laluan yang kita miliki dengan hash yang tersimpan dalam pangkalan data. Sekiranya perlawanan dijumpai, maka kita mempunyai kata laluan.
  • Tebak - Seperti namanya, kaedah ini melibatkan meneka. Kata laluan seperti qwerty, kata laluan, pentadbir, dan lain-lain biasanya digunakan atau ditetapkan sebagai kata laluan lalai. Sekiranya mereka tidak diubah atau jika pengguna ceroboh ketika memilih kata laluan, maka mereka dapat dikompromikan dengan mudah.
  • Spidering - Sebilangan besar organisasi menggunakan kata laluan yang mengandungi maklumat syarikat. Maklumat ini boleh didapati di laman web syarikat, media sosial seperti facebook, twitter, dll. Spidering mengumpulkan maklumat dari sumber-sumber ini untuk mendapatkan senarai perkataan. Senarai kata kemudian digunakan untuk melakukan serangan kamus dan brute force.

Senarai kata serangan kamus spidering 

1976 smith jones acme built|to|last golfing|chess|soccer  

Alat memecahkan kata laluan


Ini adalah program perisian yang digunakan untuk memecahkan kata laluan pengguna . Kami sudah melihat alat yang serupa dalam contoh di atas mengenai kekuatan kata laluan. Laman web www.md5this.com menggunakan jadual pelangi untuk memecahkan kata laluan. Kami sekarang akan melihat beberapa alat yang biasa digunakan


John the Ripper


John the Ripper menggunakan command prompt untuk memecahkan kata laluan. Ini menjadikannya sesuai untuk pengguna maju yang selesa bekerja dengan perintah. Ia menggunakan senarai kata untuk memecahkan kata laluan. Program ini percuma, tetapi senarai perkataan mesti dibeli. Ia mempunyai senarai kata alternatif percuma yang boleh anda gunakan. Lawati laman web produk https://www.openwall.com/john/ untuk maklumat lebih lanjut dan cara menggunakannya.


Kain & Abel


Cain & Abel berjalan di tingkap. Ia digunakan untuk memulihkan kata laluan untuk akaun pengguna, pemulihan kata laluan Microsoft Access; rangkaian mengendus, dll. Tidak seperti John the Ripper, Cain & Abel menggunakan antara muka pengguna grafik. Ini sangat biasa di kalangan pemula dan anak-anak skrip kerana kesederhanaan penggunaannya. Lawati laman web produk https://www.softpedia.com/get/Security/Decrypting-Decoding/Cain-and-Abel.shtml untuk maklumat lebih lanjut dan cara menggunakannya.





Ophcrack


Ophcrack adalah cracker kata laluan Windows lintas platform yang menggunakan jadual pelangi untuk memecahkan kata laluan. Ia berjalan pada Windows, Linux dan Mac OS. Ia juga mempunyai modul untuk serangan kekerasan antara ciri-ciri lain. Lawati laman web produk https://ophcrack.sourceforge.io/ untuk maklumat lebih lanjut dan cara menggunakannya.



Langkah-langkah Penghitung Keretakan Kata Laluan


    

  • Organisasi boleh menggunakan kaedah berikut untuk mengurangkan kemungkinan kata sandi retak
    • 

  • Elakkan kata laluan yang pendek dan mudah diduga
    • 

  • Elakkan menggunakan kata laluan dengan corak yang dapat diramalkan seperti 11552266.
    • 

  • Kata laluan yang disimpan dalam pangkalan data mesti selalu dienkripsi. Untuk enkripsi md5, lebih baik untuk mencuci hash kata laluan sebelum menyimpannya. Salting melibatkan penambahan beberapa kata pada kata laluan yang disediakan sebelum membuat hash.
    • 

  • Sebilangan besar sistem pendaftaran mempunyai petunjuk kekuatan kata laluan, organisasi mesti menggunakan dasar yang menggemari bilangan kata laluan yang tinggi.
    • 




Aktiviti Peretasan: Hack Sekarang!


Dalam senario praktikal ini, kita akan memecahkan akaun Windows dengan kata laluan mudah . Windows menggunakan NTLM hash untuk menyulitkan kata laluan . Kami akan menggunakan alat keropok NTLM di Cain dan Abel untuk melakukannya.


Cain dan Abel cracker boleh digunakan untuk memecahkan kata laluan menggunakan;


    

  • Serangan kamus
    • 

  • Kekerasan
    • 

  • Kriptanalisis
    • 



Kami akan menggunakan serangan kamus dalam contoh ini. Anda perlu memuat turun senarai perkataan serangan kamus di sini 10k-Most-Common.zip


Untuk demonstrasi ini, kami telah membuat akaun bernama Accounts dengan kata laluan qwerty pada Windows 7.



Langkah memecahkan kata laluan


    

  • Buka Cain dan Abel , anda akan mendapat skrin utama berikut
    • 



    

  • Pastikan tab keropok dipilih seperti gambar di atas
    • 

  • Klik pada butang Tambah pada bar alat.
    • 



    

  • Tetingkap dialog berikut akan muncul
    • 



    

  • Akaun pengguna tempatan akan dipaparkan seperti berikut. Perhatikan hasil yang ditunjukkan adalah dari akaun pengguna di mesin tempatan anda.
    • 



    

  • Klik kanan pada akaun yang ingin anda retak. Untuk tutorial ini, kami akan menggunakan Akaun sebagai akaun pengguna.
    • 



    

  • Skrin berikut akan muncul
    • 



    

  • Klik kanan pada bahagian kamus dan pilih menu Add to list seperti gambar di atas
    • 

  • Semak imbas ke fail 10k.txt yang paling biasa yang baru anda muat turun
    • 



    

  • Klik pada butang mula
    • 

  • Sekiranya pengguna menggunakan kata laluan mudah seperti qwerty, maka anda seharusnya dapat memperoleh hasil berikut.
    • 



    

  • Catatan : masa yang diperlukan untuk memecahkan kata laluan bergantung pada kekuatan kata kunci, kerumitan dan kekuatan pemprosesan mesin anda.
    • 

  • Sekiranya kata laluan tidak retak menggunakan serangan kamus, anda boleh mencuba serangan brute force atau cryptanalysis.
    • 




Ringkasan


    

  • Keretakan kata laluan adalah seni memulihkan kata laluan yang disimpan atau dihantar.
    • 

  • Kekuatan kata laluan ditentukan oleh panjang, kerumitan, dan ketidakpastian nilai kata laluan.
    • 

  • Teknik kata laluan biasa merangkumi serangan kamus, kekuatan kasar, jadual pelangi, labah-labah dan retak.
    • 

  • Alat memecahkan kata laluan mempermudah proses memecahkan kata laluan.
    •