Was ist das Knacken von Passwörtern?
Beim Knacken von Passwörtern wird versucht, mithilfe gängiger Passwörter oder Algorithmen, die Passwörter erraten, unbefugten Zugriff auf eingeschränkte Systeme zu erlangen. Mit anderen Worten, es ist eine Kunst, das richtige Passwort zu erhalten, das den Zugriff auf ein System ermöglicht, das durch eine Authentifizierungsmethode geschützt ist.
Das Knacken von Passwörtern verwendet eine Reihe von Techniken, um seine Ziele zu erreichen. Der Cracking-Prozess kann entweder das Vergleichen gespeicherter Passwörter mit der Wortliste umfassen oder Algorithmen verwenden, um passende Passwörter zu generieren
In diesem Tutorial werden wir Ihnen die gängigen Techniken zum Knacken von Passwörtern und die Gegenmaßnahmen vorstellen, die Sie implementieren können, um Systeme vor solchen Angriffen zu schützen.
In diesem Tutorial behandelte Themen
- Was ist Passwortstärke?
- Techniken zum Knacken von Passwörtern
- Tools zum Knacken von Passwörtern
- Kennwort-Cracking-Gegenmaßnahmen
- Hacking Assignment: Jetzt hacken!
Was ist Passwortstärke?
Die Kennwortstärke ist das Maß für die Effizienz eines Kennworts, um Angriffen auf das Knacken von Kennwörtern zu widerstehen . Die Stärke eines Passworts wird bestimmt durch;
- Länge : Die Anzahl der Zeichen, die das Passwort enthält.
- Komplexität : Verwendet es eine Kombination aus Buchstaben, Zahlen und Symbolen?
- Unvorhersehbarkeit : Kann ein Angreifer dies leicht erraten?
Schauen wir uns nun ein praktisches Beispiel an. Wir werden nämlich drei Passwörter verwenden
1. Passwort
2. Passwort1
3. # password1 $
In diesem Beispiel verwenden wir beim Erstellen von Kennwörtern die Kennwortstärkeanzeige von Cpanel. Die folgenden Bilder zeigen die Kennwortstärken der oben aufgeführten Kennwörter.
Hinweis : Das verwendete Passwort ist Passwort, die Stärke ist 1 und es ist sehr schwach.
Hinweis : Das verwendete Passwort ist Passwort1, die Stärke ist 28 und es ist immer noch schwach.
Hinweis : Das verwendete Passwort lautet # password1 $. Die Stärke beträgt 60 und es ist stark.
Je höher die Stärke, desto besser das Passwort.
Nehmen wir an, wir müssen unsere obigen Passwörter mit MD5-Verschlüsselung speichern. Wir werden einen Online-MD5-Hash-Generator verwenden, um unsere Passwörter in MD5-Hashes zu konvertieren.
Die folgende Tabelle zeigt die Passwort-Hashes
| Passwort | MD5 Hash | Cpanel Strength Indicator |
|---|---|---|
| Passwort | 5f4dcc3b5aa765d61d8327deb882cf99 | 1 |
| Passwort1 | 7c6a180b36896a0a8c02787eeafb0e4c | 28 |
| # password1 $ | 29e08fb7103c327d68327f23d8d9256c | 60 |
Wir werden jetzt http://www.md5this.com/ verwenden, um die oben genannten Hashes zu knacken. Die folgenden Bilder zeigen die Ergebnisse zum Knacken von Passwörtern für die oben genannten Passwörter.
Wie Sie den obigen Ergebnissen entnehmen können, ist es uns gelungen, das erste und das zweite Kennwort mit niedrigeren Stärken zu knacken. Wir haben es nicht geschafft, das dritte Passwort zu knacken, das länger, komplexer und unvorhersehbar war. Es hatte eine höhere Stärkezahl.
Techniken zum Knacken von Passwörtern
Es gibt eine Reihe von Techniken, mit denen Kennwörter geknackt werden können . Wir werden die am häufigsten verwendeten unten beschreiben;
- Wörterbuchangriff - Bei dieser Methode wird eine Wortliste verwendet, um sie mit Benutzerkennwörtern zu vergleichen.
- Brute-Force-Angriff - Diese Methode ähnelt dem Wörterbuchangriff. Brute-Force-Angriffe verwenden Algorithmen, die alphanumerische Zeichen und Symbole kombinieren, um Kennwörter für den Angriff zu erstellen. Beispielsweise kann ein Kennwort mit dem Wert "Kennwort" auch als p @ $$ -Wort mithilfe des Brute-Force-Angriffs versucht werden.
- Regenbogentabellenangriff - Diese Methode verwendet vorberechnete Hashes. Nehmen wir an, wir haben eine Datenbank, in der Passwörter als MD5-Hashes gespeichert sind. Wir können eine andere Datenbank erstellen, die MD5-Hashes mit häufig verwendeten Passwörtern enthält. Wir können dann den Passwort-Hash, den wir haben, mit den in der Datenbank gespeicherten Hashes vergleichen. Wenn eine Übereinstimmung gefunden wird, haben wir das Passwort.
- Vermutung - Wie der Name schon sagt, beinhaltet diese Methode das Erraten. Passwörter wie QWERTY, Passwort, Admin usw. werden häufig verwendet oder als Standardkennwörter festgelegt. Wenn sie nicht geändert wurden oder wenn der Benutzer bei der Auswahl von Passwörtern nachlässig ist, können sie leicht kompromittiert werden.
- Spidering - Die meisten Organisationen verwenden Kennwörter, die Unternehmensinformationen enthalten. Diese Informationen finden Sie auf Unternehmenswebsites, in sozialen Medien wie Facebook, Twitter usw. Spidering sammelt Informationen aus diesen Quellen, um Wortlisten zu erstellen. Die Wortliste wird dann verwendet, um Wörterbuch- und Brute-Force-Angriffe durchzuführen.
Spidering Beispielwörterbuch Angriff Wortliste
1976smith jones acme built|to|last golfing|chess|soccer Tool zum Knacken von Passwörtern
Hierbei handelt es sich um Softwareprogramme, mit denen Benutzerkennwörter geknackt werden . Wir haben uns bereits ein ähnliches Tool im obigen Beispiel zu Kennwortstärken angesehen. Die Website www.md5this.com verwendet eine Regenbogentabelle, um Passwörter zu knacken. Wir werden uns nun einige der häufig verwendeten Tools ansehen
John the Ripper
John the Ripper verwendet die Eingabeaufforderung, um Passwörter zu knacken. Dies macht es für fortgeschrittene Benutzer geeignet, die mit Befehlen vertraut sind. Es verwendet eine Wortliste, um Passwörter zu knacken. Das Programm ist kostenlos, aber die Wortliste muss gekauft werden. Es gibt kostenlose alternative Wortlisten, die Sie verwenden können. Besuchen Sie die Produktwebsite https://www.openwall.com/john/, um weitere Informationen und deren Verwendung zu erhalten.
Kain & Abel
Cain & Abel läuft unter Windows. Es wird verwendet, um Kennwörter für Benutzerkonten wiederherzustellen, Microsoft Access-Kennwörter wiederherzustellen; Netzwerk-Sniffing usw. Im Gegensatz zu John the Ripper verwendet Cain & Abel eine grafische Benutzeroberfläche. Es ist sehr häufig bei Neulingen und Skriptkindern wegen seiner einfachen Verwendung. Besuchen Sie die Produktwebsite https://www.softpedia.com/get/Security/Decrypting-Decoding/Cain-and-Abel.shtml, um weitere Informationen und deren Verwendung zu erhalten.
Ophcrack
Ophcrack ist ein plattformübergreifender Windows-Kennwortcracker, der Regenbogentabellen zum Knacken von Kennwörtern verwendet. Es läuft unter Windows, Linux und Mac OS. Es verfügt unter anderem über ein Modul für Brute-Force-Angriffe. Besuchen Sie die Produktwebsite https://ophcrack.sourceforge.io/, um weitere Informationen und deren Verwendung zu erhalten.
Kennwort-Cracking-Gegenmaßnahmen
- Eine Organisation kann die folgenden Methoden verwenden, um die Wahrscheinlichkeit zu verringern, dass Kennwörter geknackt wurden
- Vermeiden Sie kurze und leicht vorhersehbare Passwörter
- Vermeiden Sie die Verwendung von Passwörtern mit vorhersehbaren Mustern wie 11552266.
- In der Datenbank gespeicherte Passwörter müssen immer verschlüsselt sein. Bei MD5-Verschlüsselungen ist es besser, die Kennwort-Hashes vor dem Speichern zu salzen. Beim Salting wird dem angegebenen Kennwort ein Wort hinzugefügt, bevor der Hash erstellt wird.
- Die meisten Registrierungssysteme verfügen über Kennwörter für die Kennwortstärke. Unternehmen müssen Richtlinien festlegen, die eine hohe Kennwortstärke bevorzugen.
Hacking-Aktivität: Jetzt hacken!
In diesem praktischen Szenario werden wir das Windows-Konto mit einem einfachen Kennwort knacken . Windows verwendet NTLM-Hashes zum Verschlüsseln von Kennwörtern . Wir werden das NTLM-Cracker-Tool in Cain und Abel verwenden, um dies zu tun.
Cain und Abel Cracker können verwendet werden, um Passwörter mit zu knacken;
- Wörterbuchangriff
- Rohe Gewalt
- Kryptoanalyse
In diesem Beispiel wird der Wörterbuchangriff verwendet. Sie müssen die Wortliste für Wörterbuchangriffe hier herunterladen. 10k-Most-Common.zip
Für diese Demonstration haben wir unter Windows 7 ein Konto mit dem Namen "Konten" mit dem Kennwort "qwerty" erstellt.
Schritte zum Knacken von Passwörtern
- Öffnen Sie Cain and Abel und Sie erhalten den folgenden Hauptbildschirm
- Stellen Sie sicher, dass die Registerkarte Cracker wie oben gezeigt ausgewählt ist
- Klicken Sie in der Symbolleiste auf die Schaltfläche Hinzufügen.
- Das folgende Dialogfenster wird angezeigt
- Die lokalen Benutzerkonten werden wie folgt angezeigt. Beachten Sie, dass die angezeigten Ergebnisse von den Benutzerkonten auf Ihrem lokalen Computer stammen.
- Klicken Sie mit der rechten Maustaste auf das Konto, das Sie knacken möchten. In diesem Tutorial verwenden wir Konten als Benutzerkonto.
- Der folgende Bildschirm wird angezeigt
- Klicken Sie mit der rechten Maustaste auf den Wörterbuchabschnitt und wählen Sie wie oben gezeigt das Menü Zur Liste hinzufügen
- Navigieren Sie zu der 10k-Datei common common.txt, die Sie gerade heruntergeladen haben
- Klicken Sie auf die Schaltfläche Start
- Wenn der Benutzer ein einfaches Passwort wie qwerty verwendet hat, sollten Sie in der Lage sein, die folgenden Ergebnisse zu erhalten.
- Hinweis : Die zum Knacken des Kennworts benötigte Zeit hängt von der Kennwortstärke, der Komplexität und der Verarbeitungsleistung Ihres Computers ab.
- Wenn das Kennwort nicht mithilfe eines Wörterbuchangriffs geknackt wird, können Sie Brute-Force- oder Kryptoanalyse-Angriffe versuchen.
Zusammenfassung
- Das Knacken von Passwörtern ist die Kunst, gespeicherte oder übertragene Passwörter wiederherzustellen.
- Die Kennwortstärke wird durch die Länge, Komplexität und Unvorhersehbarkeit eines Kennwortwerts bestimmt.
- Zu den gängigen Passworttechniken gehören Wörterbuchangriffe, Brute Force, Regenbogentabellen, Spinnen und Knacken.
- Tools zum Knacken von Passwörtern vereinfachen das Knacken von Passwörtern.