Шта је ломљење лозинке?
Пробијање лозинки је поступак покушаја неовлашћеног приступа ограниченим системима помоћу уобичајених лозинки или алгоритама који погађају лозинке. Другим речима, то је уметност добијања тачне лозинке која омогућава приступ систему заштићеном методом потврде идентитета.
Пробијање лозинки користи бројне технике за постизање својих циљева. Процес пробијања може укључивати упоређивање сачуваних лозинки са списком речи или употребу алгоритама за генерисање лозинки које се подударају
У овом водичу ћемо вас упознати са уобичајеним техникама пробијања лозинки и противмерама које можете применити за заштиту система од таквих напада.
Теме обрађене у овом упутству
- Шта је снага лозинке?
- Технике пробијања лозинке
- Алати за пробијање лозинки
- Противмере за пробијање лозинке
- Задатак хаковања: Хацк Нов!
Шта је снага лозинке?
Снага лозинке је мера ефикасности лозинке за одолевање нападима на пробијање лозинки . Јачину лозинке одређује:
- Дужина : број знакова које лозинка садржи.
- Сложеност : користи ли комбинацију слова, бројева и симбола?
- Непредвидивост : да ли је то нешто што нападач може лако погодити?
Погледајмо сада практични пример. Користићемо наиме три лозинке
1. лозинка
2. лозинка1
3. # лозинка1 $
У овом примеру ћемо користити индикатор снаге лозинке за Цпанел приликом креирања лозинки. На сликама испод приказане су снаге лозинки сваке од горе наведених лозинки.
Напомена : Лозинка која се користи је лозинка јачине 1 и врло је слаба.
Напомена : Употријебљена лозинка је пассворд1, снага је 28 и још увијек је слаба.
Напомена : Употријебљена лозинка је # пассворд1 $, снага је 60 и она је јака.
Што је број снаге већи, лозинка је боља.
Претпоставимо да горе наведене лозинке морамо да складиштимо користећи мд5 енкрипцију. Користићемо мрежни генератор хеширања мд5 за претварање наших лозинки у мд5 хешеве.
Табела испод приказује хеш лозинке
| Лозинка | МД5 Хасх | Цпанел индикатор јачине |
|---|---|---|
| Лозинка | 5ф4дцц3б5аа765д61д8327деб882цф99 | 1 |
| пассворд1 | 7ц6а180б36896а0а8ц02787ееафб0е4ц | 28 |
| # пассворд1 $ | 29е08фб7103ц327д68327ф23д8д9256ц | 60 |
Сада ћемо користити хттп://ввв.мд5тхис.цом/ за пробијање горњих хешева. На сликама испод приказани су резултати пробијања лозинки за горе наведене лозинке.
Као што видите из горњих резултата, успели смо да провалимо прву и другу лозинку које су имале мање бројеве чврстоће. Нисмо успели да провалимо трећу лозинку која је била дужа, сложена и непредвидива. Имао је већи број чврстоће.
Технике пробијања лозинке
Постоји низ техника које се могу користити за разбијање лозинки . У наставку ћемо описати најчешће коришћене;
- Напад на речник - Овај метод укључује употребу пописа речи за упоређивање са корисничким лозинкама.
- Напад грубом силом - Овај метод је сличан нападу на речник. Напади грубом силом користе алгоритме који комбинују алфанумеричке знакове и симболе за проналажење лозинки за напад. На пример, лозинка вредности „лозинка“ се такође може испробати као п @ $$ реч употребом грубе силе.
- Напад на Раинбов табле - Ова метода користи унапред израчуната хеширања. Претпоставимо да имамо базу података која лозинке чува у облику мд5 хеша. Можемо створити још једну базу података која има мд5 хешеве често кориштених лозинки. Затим можемо упоредити хеш лозинке који имамо са ускладиштеним хешовима у бази података. Ако се пронађе подударање, онда имамо лозинку.
- Погодите - Као што само име говори, ова метода укључује погађање. Шифре као што су кверти, лозинка, админ итд. Се обично користе или постављају као задате лозинке. Ако нису промењене или ако је корисник неопрезан при одабиру лозинки, оне се лако могу компромитовати.
- Спајдинг - Већина организација користи лозинке које садрже информације о предузећу. Ове информације се могу наћи на веб локацијама компанија, друштвеним мрежама попут фацебоок-а, твиттер-а итд. Спидеринг прикупља информације из ових извора како би се дошло до листа речи. Попис речи се затим користи за извршавање напада на речник и грубу силу.
Спидеринг пример речника за напад на речник
1976smith jones acme built|to|last golfing|chess|soccer Алат за пробијање лозинки
То су софтверски програми који се користе за пробијање корисничких лозинки . Већ смо гледали сличан алат у горњем примеру о јачинама лозинки. Веб локација ввв.мд5тхис.цом користи дугину табелу за разбијање лозинки. Сада ћемо размотрити неке од најчешће коришћених алата
Јохн тхе Риппер
Јохн Трбосјек користи командну линију за пробијање лозинки. То га чини погодним за напредне кориснике којима је угодно радити са командама. Користи се за попис речи за пробијање лозинки. Програм је бесплатан, али списак речи мора да се купи. Има бесплатне листе речи које можете користити. Посетите веб локацију производа хттпс://ввв.опенвалл.цом/јохн/ за више информација и како га користити.
Каин и Абел
Цаин & Абел трчи на прозорима. Користи се за опоравак лозинки за корисничке налоге, опоравак лозинки за Мицрософт Аццесс; њушкање преко мреже, итд. За разлику од Јохна Трбосјека, Цаин & Абел користи графички кориснички интерфејс. Веома је чест међу новајлијама и дечјим скриптима због једноставности употребе. Посетите веб локацију производа хттпс://ввв.софтпедиа.цом/гет/Сецурити/Децриптинг-Децодинг/Цаин-анд-Абел.схтмл за више информација и како га користити.
Опхцрацк
Опхцрацк је програм за обраду лозинки за више платформи који користи дугине табеле за пробијање лозинки. Ради на Виндовс, Линук и Мац ОС. Такође има модул за нападе грубом силом, између осталих карактеристика. Посетите веб локацију производа хттпс://опхцрацк.соурцефорге.ио/ за више информација и како га користити.
Противмере за пробијање лозинке
- Организација може да користи следеће методе како би смањила шансе за ломљење лозинки
- Избегавајте кратке и лако предвидљиве лозинке
- Избегавајте употребу лозинки са предвидљивим обрасцима као што је 11552266.
- Лозинке похрањене у бази података морају увијек бити шифриране. За мд5 шифровање, боље је посолити хеш лозинке пре него што их сачувате. Сољење подразумева додавање неке речи у наведену лозинку пре стварања хеша.
- Већина система регистрације имају индикаторе снаге лозинке, организације морају усвојити политике које фаворизују високе бројеве снаге лозинке.
Активност хаковања: Хацк Нов!
У овом практичном сценарију, креираћемо Виндовс налог помоћу једноставне лозинке . Виндовс користи НТЛМ хеш за шифровање лозинки . За то ћемо користити алатку за крекер НТЛМ у Цаин-у и Абел-у.
Цаин и Абел крекер се могу користити за разбијање лозинки користећи;
- Речник напада
- Насилно
- Криптоанализа
У овом примеру ћемо користити напад на речник. Овде ћете морати да преузмете листу речи за напад на речник 10к-Мост-Цоммон.зип
За ову демонстрацију створили смо рачун под називом Рачуни са лозинком кверти за Виндовс 7.
Кораци за пробијање лозинке
- Отворите Цаин анд Абел , добићете следећи главни екран
- Обавезно одаберите картицу крекера као што је приказано горе
- Кликните на дугме Додај на траци са алаткама.
- Појавиће се следећи дијалошки прозор
- Локални кориснички рачуни биће приказани на следећи начин. Имајте на уму да ће приказани резултати бити корисничких рачуна на вашем локалном рачунару.
- Десни клик на рачун који желите да провалите. У овом упутству користићемо Налоге као кориснички налог.
- Појавиће се следећи екран
- Кликните десним тастером миша на одељак речника и изаберите мени Додај на листу као што је горе приказано
- Потражите 10к најчешће датотеке.ткт коју сте управо преузели
- Кликните на дугме Старт
- Ако је корисник користио једноставну лозинку попут кверти, тада бисте требали добити следеће резултате.
- Напомена : време потребно за пробијање лозинке зависи од снаге лозинке, сложености и процесорске снаге ваше машине.
- Ако лозинка није провалила помоћу напада на речник, можете испробати грубу силу или криптоанализу.
Резиме
- Пробијање лозинки је уметност опоравка сачуваних или пренетих лозинки.
- Снага лозинке се одређује дужином, сложеношћу и непредвидљивошћу вредности лозинке.
- Уобичајене технике лозинке укључују нападе речником, грубу силу, дугине столове, пауковање и пуцање.
- Алати за пробијање лозинки поједностављују поступак пробијања лозинки.