Wat is het kraken van wachtwoorden?
Wachtwoordkraken is het proces waarbij wordt geprobeerd ongeautoriseerde toegang te krijgen tot beperkte systemen met behulp van algemene wachtwoorden of algoritmen die wachtwoorden raden. Met andere woorden, het is een kunst om het juiste wachtwoord te verkrijgen dat toegang geeft tot een systeem dat wordt beschermd door een authenticatiemethode.
Bij het kraken van wachtwoorden worden een aantal technieken gebruikt om zijn doelen te bereiken. Het kraakproces kan bestaan uit het vergelijken van opgeslagen wachtwoorden met woordenlijsten of het gebruik van algoritmen om wachtwoorden te genereren die overeenkomen
In deze zelfstudie laten we u kennismaken met de gebruikelijke technieken voor het kraken van wachtwoorden en de tegenmaatregelen die u kunt nemen om systemen tegen dergelijke aanvallen te beschermen.
Onderwerpen die in deze tutorial worden behandeld
- Wat is wachtwoordsterkte?
- Technieken voor het kraken van wachtwoorden
- Tools voor het kraken van wachtwoorden
- Tegenmaatregelen tegen het kraken van wachtwoorden
- Hackopdracht: nu hacken!
Wat is wachtwoordsterkte?
Wachtwoordsterkte is de maatstaf voor de efficiëntie van een wachtwoord om aanvallen op het kraken van wachtwoorden te weerstaan . De sterkte van een wachtwoord wordt bepaald door;
- Lengte : het aantal tekens dat het wachtwoord bevat.
- Complexiteit : gebruikt het een combinatie van letters, cijfers en symbolen?
- Onvoorspelbaarheid : is het iets dat gemakkelijk kan worden geraden door een aanvaller?
Laten we nu naar een praktisch voorbeeld kijken. We zullen namelijk drie wachtwoorden gebruiken
1. wachtwoord
2. wachtwoord1
3. # wachtwoord1 $
Voor dit voorbeeld gebruiken we de wachtwoordsterkte-indicator van Cpanel bij het maken van wachtwoorden. De onderstaande afbeeldingen tonen de wachtwoordsterktes van elk van de hierboven vermelde wachtwoorden.
Opmerking : het gebruikte wachtwoord is een wachtwoord met de sterkte 1 en het is erg zwak.
Opmerking : het gebruikte wachtwoord is wachtwoord1, de sterkte is 28 en het is nog steeds zwak.
Opmerking : het gebruikte wachtwoord is # wachtwoord1 $ de sterkte is 60 en het is sterk.
Hoe hoger het sterktenummer, hoe beter het wachtwoord.
Stel dat we onze bovenstaande wachtwoorden moeten opslaan met behulp van md5-codering. We zullen een online md5-hash-generator gebruiken om onze wachtwoorden om te zetten in md5-hashes.
De onderstaande tabel toont de wachtwoord-hashes
| Wachtwoord | MD5-hash | Cpanel sterkte-indicator |
|---|---|---|
| wachtwoord | 5f4dcc3b5aa765d61d8327deb882cf99 | 1 |
| wachtwoord 1 | 7c6a180b36896a0a8c02787eeafb0e4c | 28 |
| # wachtwoord1 $ | 29e08fb7103c327d68327f23d8d9256c | 60 |
We zullen nu http://www.md5this.com/ gebruiken om de bovenstaande hashes te kraken. De onderstaande afbeeldingen tonen de resultaten van het kraken van wachtwoorden voor de bovenstaande wachtwoorden.
Zoals u kunt zien aan de hand van de bovenstaande resultaten, zijn we erin geslaagd om het eerste en tweede wachtwoord te kraken met lagere sterktenummers. Het is ons niet gelukt om het derde wachtwoord te kraken, dat langer, complex en onvoorspelbaar was. Het had een hoger sterktegetal.
Technieken voor het kraken van wachtwoorden
Er zijn een aantal technieken die kunnen worden gebruikt om wachtwoorden te kraken . We zullen de meest gebruikte hieronder beschrijven;
- Woordenboekaanval - Deze methode omvat het gebruik van een woordenlijst om gebruikerswachtwoorden te vergelijken.
- Brute force-aanval - Deze methode is vergelijkbaar met de woordenboekaanval. Brute force-aanvallen gebruiken algoritmen die alfanumerieke tekens en symbolen combineren om wachtwoorden voor de aanval te bedenken. Een wachtwoord met de waarde "wachtwoord" kan bijvoorbeeld ook worden geprobeerd als p @ $$-woord met behulp van de brute force-aanval.
- Rainbow table attack - Deze methode maakt gebruik van vooraf berekende hashes. Laten we aannemen dat we een database hebben die wachtwoorden opslaat als md5-hashes. We kunnen een andere database maken met md5-hashes van veelgebruikte wachtwoorden. We kunnen dan de wachtwoord-hash die we hebben vergelijken met de opgeslagen hashes in de database. Als er een match wordt gevonden, hebben we het wachtwoord.
- Raden - Zoals de naam suggereert, houdt deze methode gissen in. Wachtwoorden zoals qwerty, wachtwoord, admin, etc. worden vaak gebruikt of ingesteld als standaardwachtwoorden. Als ze niet zijn gewijzigd of als de gebruiker onzorgvuldig is bij het selecteren van wachtwoorden, kunnen ze gemakkelijk worden gecompromitteerd.
- Spidering - De meeste organisaties gebruiken wachtwoorden die bedrijfsinformatie bevatten. Deze informatie is te vinden op bedrijfswebsites, sociale media zoals facebook, twitter, etc. Spidering verzamelt informatie uit deze bronnen om woordenlijsten op te stellen. De woordenlijst wordt vervolgens gebruikt om woordenboek- en brute force-aanvallen uit te voeren.
Spidende voorbeeldwoordenlijst woordenboekaanval
1976smith jones acme built|to|last golfing|chess|soccer Tool voor het kraken van wachtwoorden
Dit zijn softwareprogramma's die worden gebruikt om gebruikerswachtwoorden te kraken . We keken al naar een vergelijkbare tool in het bovenstaande voorbeeld over wachtwoordsterktes. De website www.md5this.com gebruikt een regenboogtafel om wachtwoorden te kraken. We zullen nu enkele van de meest gebruikte tools bekijken
John the Ripper
John the Ripper gebruikt de opdrachtprompt om wachtwoorden te kraken. Dit maakt het geschikt voor gevorderde gebruikers die vertrouwd zijn met het werken met commando's. Het gebruikt een woordenlijst om wachtwoorden te kraken. Het programma is gratis, maar de woordenlijst moet worden gekocht. Het heeft gratis alternatieve woordenlijsten die u kunt gebruiken. Bezoek de productwebsite https://www.openwall.com/john/ voor meer informatie en hoe u deze kunt gebruiken.
Kaïn en Abel
Cain & Abel draait op ramen. Het wordt gebruikt om wachtwoorden voor gebruikersaccounts te herstellen, Microsoft Access-wachtwoorden te herstellen; netwerken snuiven, enz. In tegenstelling tot John the Ripper gebruikt Cain & Abel een grafische gebruikersinterface. Het is heel gebruikelijk bij nieuwkomers en scriptkiddies vanwege de eenvoud van gebruik. Bezoek de productwebsite https://www.softpedia.com/get/Security/Decrypting-Decoding/Cain-and-Abel.shtml voor meer informatie en hoe u deze kunt gebruiken.
Ophcrack
Ophcrack is een platformonafhankelijke Windows-wachtwoordcracker die regenboogtabellen gebruikt om wachtwoorden te kraken. Het draait op Windows, Linux en Mac OS. Het heeft ook een module voor onder andere brute force-aanvallen. Bezoek de productwebsite https://ophcrack.sourceforge.io/ voor meer informatie en hoe u deze kunt gebruiken.
Tegenmaatregelen tegen het kraken van wachtwoorden
- Een organisatie kan de volgende methoden gebruiken om de kans te verkleinen dat de wachtwoorden worden gekraakt
- Vermijd korte en gemakkelijk te voorspellen wachtwoorden
- Gebruik geen wachtwoorden met voorspelbare patronen, zoals 11552266.
- Wachtwoorden die in de database zijn opgeslagen, moeten altijd worden gecodeerd. Voor md5-coderingen is het beter om de wachtwoord-hashes te zouten voordat u ze opslaat. Salting houdt in dat je een woord aan het opgegeven wachtwoord toevoegt voordat de hash wordt gemaakt.
- De meeste registratiesystemen hebben indicatoren voor wachtwoordsterkte, organisaties moeten beleid aannemen dat de voorkeur geeft aan cijfers met een hoge wachtwoordsterkte.
Hacking-activiteit: nu hacken!
In dit praktische scenario gaan we Windows-account kraken met een eenvoudig wachtwoord . Windows gebruikt NTLM-hashes om wachtwoorden te versleutelen . We zullen de NTLM-cracker-tool in Cain en Abel gebruiken om dat te doen.
De cracker van Cain en Abel kan worden gebruikt om wachtwoorden te kraken met;
- Woordenboekaanval
- Brute kracht
- Cryptanalyse
In dit voorbeeld zullen we de woordenboekaanval gebruiken. U moet de woordenlijst van de woordenboekaanval hier downloaden 10k-Most-Common.zip
Voor deze demonstratie hebben we een account gemaakt met de naam Accounts met het wachtwoord qwerty op Windows 7.
Stappen voor het kraken van wachtwoorden
- Open Kaïn en Abel , je krijgt het volgende hoofdscherm
- Zorg ervoor dat het cracker-tabblad is geselecteerd zoals hierboven weergegeven
- Klik op de knop Toevoegen op de werkbalk.
- Het volgende dialoogvenster zal verschijnen
- De lokale gebruikersaccounts worden als volgt weergegeven. Let op: de weergegeven resultaten zijn van de gebruikersaccounts op uw lokale computer.
- Klik met de rechtermuisknop op het account dat u wilt kraken. Voor deze zelfstudie gebruiken we Accounts als gebruikersaccount.
- Het volgende scherm verschijnt
- Klik met de rechtermuisknop op het woordenboekgedeelte en selecteer Toevoegen aan lijstmenu zoals hierboven weergegeven
- Blader naar het 10k meest voorkomende.txt-bestand dat u zojuist hebt gedownload
- Klik op de startknop
- Als de gebruiker een eenvoudig wachtwoord zoals qwerty heeft gebruikt, zou u de volgende resultaten moeten kunnen krijgen.
- Opmerking : de tijd die nodig is om het wachtwoord te kraken, is afhankelijk van de wachtwoordsterkte, complexiteit en verwerkingskracht van uw machine.
- Als het wachtwoord niet wordt gekraakt met behulp van een woordenboekaanval, kunt u brute force- of cryptanalyse-aanvallen proberen.
Overzicht
- Wachtwoordkraken is de kunst van het herstellen van opgeslagen of verzonden wachtwoorden.
- De wachtwoordsterkte wordt bepaald door de lengte, complexiteit en onvoorspelbaarheid van een wachtwoordwaarde.
- Veelvoorkomende wachtwoordtechnieken zijn onder meer woordenboekaanvallen, brute kracht, regenboogtabellen, spidering en cracking.
- Hulpprogramma's voor het kraken van wachtwoorden vereenvoudigen het proces van het kraken van wachtwoorden.