Come decifrare una password

Sommario:

Anonim

Che cos'è il cracking delle password?

Il cracking delle password è il processo attraverso il quale si tenta di ottenere l'accesso non autorizzato a sistemi limitati utilizzando password comuni o algoritmi che indovinano le password. In altre parole, è un'arte di ottenere la password corretta che dà accesso a un sistema protetto da un metodo di autenticazione.

Il cracking delle password impiega una serie di tecniche per raggiungere i suoi obiettivi. Il processo di cracking può comportare il confronto delle password memorizzate con l'elenco di parole o l'utilizzo di algoritmi per generare password che corrispondono

In questo tutorial, ti presenteremo le comuni tecniche di cracking delle password e le contromisure che puoi implementare per proteggere i sistemi da tali attacchi.

Argomenti trattati in questo tutorial

  • Cos'è la sicurezza della password?
  • Tecniche di cracking delle password
  • Strumenti per crackare le password
  • Contromisure per crackare le password
  • Assegnazione di hacking: Hack Now!

Cos'è la sicurezza della password?

La forza della password è la misura dell'efficienza di una password per resistere agli attacchi di cracking delle password . La forza di una password è determinata da;

  • Lunghezza : il numero di caratteri contenuti nella password.
  • Complessità : utilizza una combinazione di lettere, numeri e simboli?
  • Imprevedibilità : è qualcosa che può essere indovinato facilmente da un attaccante?

Vediamo ora un esempio pratico. Useremo tre password, vale a dire

1. password

2. password1

3. # password1 $

Per questo esempio, utilizzeremo l'indicatore di sicurezza della password di Cpanel durante la creazione delle password. Le immagini seguenti mostrano i punti di forza della password di ciascuna delle password sopra elencate.

Nota : la password utilizzata è la password, la forza è 1 ed è molto debole.

Nota : la password utilizzata è password1, la forza è 28 ed è ancora debole.

Nota : la password utilizzata è # password1 $, la forza è 60 ed è forte.

Maggiore è il numero di sicurezza, migliore è la password.

Supponiamo di dover memorizzare le nostre password di cui sopra utilizzando la crittografia md5. Useremo un generatore di hash md5 online per convertire le nostre password in hash md5.

La tabella seguente mostra gli hash delle password

Parola d'ordine MD5 Hash Indicatore di forza del pannello
parola d'ordine 5f4dcc3b5aa765d61d8327deb882cf99 1
password 1 7c6a180b36896a0a8c02787eeafb0e4c 28
# password1 $ 29e08fb7103c327d68327f23d8d9256c 60

Ora useremo http://www.md5this.com/ per decifrare gli hash di cui sopra. Le immagini sottostanti mostrano i risultati di cracking delle password per le password di cui sopra.

Come puoi vedere dai risultati sopra, siamo riusciti a decifrare la prima e la seconda password che avevano numeri di sicurezza inferiori. Non siamo riusciti a decifrare la terza password che era più lunga, complessa e imprevedibile. Aveva un numero di forza maggiore.

Tecniche di cracking delle password

Esistono numerose tecniche che possono essere utilizzate per decifrare le password . Descriveremo di seguito quelli più comunemente usati;

  • Attacco dizionario : questo metodo prevede l'uso di un elenco di parole da confrontare con le password degli utenti.
  • Attacco di forza bruta : questo metodo è simile all'attacco del dizionario. Gli attacchi di forza bruta utilizzano algoritmi che combinano caratteri e simboli alfanumerici per creare password per l'attacco. Ad esempio, una password del valore "password" può anche essere provata come parola p @ $$ utilizzando l'attacco di forza bruta.
  • Rainbow table attack : questo metodo utilizza hash precalcolati. Supponiamo di avere un database che memorizza le password come hash md5. Possiamo creare un altro database che abbia hash md5 delle password di uso comune. Possiamo quindi confrontare l'hash della password che abbiamo con gli hash memorizzati nel database. Se viene trovata una corrispondenza, allora abbiamo la password.
  • Indovina : come suggerisce il nome, questo metodo implica indovinare. Le password come qwerty, password, admin e così via sono comunemente utilizzate o impostate come password predefinite. Se non sono state modificate o se l'utente è incurante nella selezione delle password, possono essere facilmente compromesse.
  • Spidering : la maggior parte delle organizzazioni utilizza password che contengono informazioni aziendali. Queste informazioni possono essere trovate sui siti Web dell'azienda, sui social media come Facebook, Twitter, ecc. Spidering raccoglie informazioni da queste fonti per creare elenchi di parole. L'elenco delle parole viene quindi utilizzato per eseguire il dizionario e gli attacchi di forza bruta.

Elenco di parole di attacco del dizionario di esempio Spidering 

1976 smith jones acme built|to|last golfing|chess|soccer  

Strumento di cracking delle password


Si tratta di programmi software utilizzati per violare le password degli utenti . Abbiamo già esaminato uno strumento simile nell'esempio precedente sui punti di forza delle password. Il sito Web www.md5this.com utilizza una tabella arcobaleno per decifrare le password. Vedremo ora alcuni degli strumenti comunemente usati


John lo Squartatore


John the Ripper utilizza il prompt dei comandi per decifrare le password. Questo lo rende adatto per utenti avanzati che si sentono a proprio agio con i comandi. Utilizza un elenco di parole per decifrare le password. Il programma è gratuito, ma la lista delle parole deve essere acquistata. Ha elenchi di parole alternative gratuite che puoi utilizzare. Visitare il sito Web del prodotto https://www.openwall.com/john/ per ulteriori informazioni e su come utilizzarlo.


Caino e Abele


Cain & Abel gira su Windows. Viene utilizzato per recuperare password per account utente, recupero di password di Microsoft Access; sniffing di rete, ecc. A differenza di John the Ripper, Cain & Abel utilizza un'interfaccia utente grafica. È molto comune tra i neofiti e gli script kiddie a causa della sua semplicità d'uso. Visitare il sito Web del prodotto https://www.softpedia.com/get/Security/Decrypting-Decoding/Cain-and-Abel.shtml per ulteriori informazioni e su come utilizzarlo.





Ophcrack


Ophcrack è un cracker di password Windows multipiattaforma che utilizza tabelle arcobaleno per decifrare le password. Funziona su Windows, Linux e Mac OS. Ha anche un modulo per attacchi di forza bruta tra le altre caratteristiche. Visitare il sito Web del prodotto https://ophcrack.sourceforge.io/ per ulteriori informazioni e su come utilizzarlo.



Contromisure per crackare le password


    

  • Un'organizzazione può utilizzare i seguenti metodi per ridurre le possibilità che le password vengano violate
    • 

  • Evita password brevi e facilmente prevedibili
    • 

  • Evita di utilizzare password con schemi prevedibili come 11552266.
    • 

  • Le password archiviate nel database devono essere sempre crittografate. Per le crittografie md5, è meglio salare gli hash delle password prima di archiviarli. Salare comporta l'aggiunta di qualche parola alla password fornita prima di creare l'hash.
    • 

  • La maggior parte dei sistemi di registrazione dispone di indicatori di sicurezza della password, le organizzazioni devono adottare criteri che favoriscano numeri elevati di sicurezza della password.
    • 




Attività di hacking: Hack Now!


In questo scenario pratico, creeremo un account Windows con una semplice password . Windows utilizza gli hash NTLM per crittografare le password . Per farlo useremo lo strumento cracker NTLM in Cain and Abel.


Cain e Abel cracker possono essere usati per decifrare le password usando;


    

  • Dictionary attack
    • 

  • Forza bruta
    • 

  • Crittanalisi
    • 



Useremo l'attacco del dizionario in questo esempio. Dovrai scaricare l'elenco di parole per l'attacco del dizionario qui 10k-Most-Common.zip


Per questa dimostrazione, abbiamo creato un account chiamato Account con la password qwerty su Windows 7.



Passaggi per crackare le password


    

  • Apri Caino e Abele , otterrai la seguente schermata principale
    • 



    

  • Assicurati che la scheda cracker sia selezionata come mostrato sopra
    • 

  • Fare clic sul pulsante Aggiungi nella barra degli strumenti.
    • 



    

  • Apparirà la seguente finestra di dialogo
    • 



    

  • Gli account utente locali verranno visualizzati come segue. Nota che i risultati mostrati saranno degli account utente sulla tua macchina locale.
    • 



    

  • Fai clic con il pulsante destro del mouse sull'account che desideri craccare. Per questo tutorial, useremo Account come account utente.
    • 



    

  • Apparirà la seguente schermata
    • 



    

  • Fare clic con il tasto destro sulla sezione del dizionario e selezionare Aggiungi al menu dell'elenco come mostrato sopra
    • 

  • Sfoglia fino al file 10k più common.txt che hai appena scaricato
    • 



    

  • Fare clic sul pulsante di avvio
    • 

  • Se l'utente ha utilizzato una password semplice come qwerty, dovresti essere in grado di ottenere i seguenti risultati.
    • 



    

  • Nota : il tempo necessario per decifrare la password dipende dalla forza della password, dalla complessità e dalla potenza di elaborazione della tua macchina.
    • 

  • Se la password non viene violata utilizzando un attacco dizionario, puoi provare attacchi di forza bruta o crittoanalisi.
    • 




Sommario


    

  • Il cracking delle password è l'arte di recuperare le password memorizzate o trasmesse.
    • 

  • La robustezza della password è determinata dalla lunghezza, complessità e imprevedibilità di un valore di password.
    • 

  • Le tecniche comuni per le password includono attacchi al dizionario, forza bruta, tabelle arcobaleno, spidering e cracking.
    • 

  • Gli strumenti di cracking delle password semplificano il processo di cracking delle password.
    •