Como quebrar uma senha

Índice:

Anonim

O que é quebra de senha?

A quebra de senha é o processo de tentativa de obter acesso não autorizado a sistemas restritos usando senhas comuns ou algoritmos que adivinham as senhas. Em outras palavras, é uma arte de obter a senha correta que dá acesso a um sistema protegido por um método de autenticação.

A quebra de senha emprega uma série de técnicas para atingir seus objetivos. O processo de cracking pode envolver a comparação de senhas armazenadas com a lista de palavras ou o uso de algoritmos para gerar senhas que correspondam

Neste Tutorial, apresentaremos as técnicas comuns de quebra de senha e as contramedidas que você pode implementar para proteger os sistemas contra tais ataques.

Tópicos abordados neste tutorial

  • Qual é a força da senha?
  • Técnicas de quebra de senha
  • Ferramentas de quebra de senha
  • Medidas de contador de quebra de senha
  • Tarefa de hack: hack agora!

Qual é a força da senha?

A força da senha é a medida da eficiência de uma senha para resistir a ataques de quebra de senha . A força de uma senha é determinada por;

  • Comprimento : o número de caracteres que a senha contém.
  • Complexidade : ele usa uma combinação de letras, números e símbolos?
  • Imprevisibilidade : é algo que pode ser adivinhado facilmente por um invasor?

Vejamos agora um exemplo prático. Usaremos três senhas, a saber

1. senha

2. senha1

3. # password1 $

Para este exemplo, usaremos o indicador de força da senha do Cpanel ao criar senhas. As imagens abaixo mostram os níveis de segurança de cada uma das senhas listadas acima.

Nota : a senha usada é a senha, a força é 1 e é muito fraca.

Nota : a senha usada é password1, a força é 28 e ainda é fraca.

Nota : A senha usada é # password1 $ a força é 60 e é forte.

Quanto maior o número de força, melhor será a senha.

Vamos supor que tenhamos que armazenar nossas senhas acima usando criptografia md5. Usaremos um gerador de hash md5 online para converter nossas senhas em hashes md5.

A tabela abaixo mostra os hashes de senha

Senha Hash MD5 Indicador de Força Cpanel
senha 5f4dcc3b5aa765d61d8327deb882cf99 1
senha1 7c6a180b36896a0a8c02787eeafb0e4c 28
# password1 $ 29e08fb7103c327d68327f23d8d9256c 60

Agora usaremos http://www.md5this.com/ para quebrar os hashes acima. As imagens abaixo mostram os resultados da quebra de senha para as senhas acima.

Como você pode ver nos resultados acima, conseguimos quebrar a primeira e a segunda senhas que tinham números de força mais baixos. Não conseguimos quebrar a terceira senha que era mais longa, complexa e imprevisível. Ele tinha um número de resistência maior.

Técnicas de quebra de senha

Existem várias técnicas que podem ser usadas para decifrar senhas . Descreveremos os mais comumente usados ​​abaixo;

  • Ataque de dicionário - este método envolve o uso de uma lista de palavras para comparar com as senhas do usuário.
  • Ataque de força bruta - este método é semelhante ao ataque de dicionário. Os ataques de força bruta usam algoritmos que combinam caracteres alfanuméricos e símbolos para criar senhas para o ataque. Por exemplo, uma senha com o valor “senha” também pode ser tentada como p @ $$ palavra usando o ataque de força bruta.
  • Ataque de tabela de arco-íris - Este método usa hashes pré-computados. Vamos supor que temos um banco de dados que armazena senhas como hashes md5. Podemos criar outro banco de dados que tenha hashes md5 de senhas comumente usadas. Podemos então comparar o hash da senha que temos com os hashes armazenados no banco de dados. Se uma correspondência for encontrada, então temos a senha.
  • Adivinhar - como o nome sugere, esse método envolve adivinhação. Senhas como qwerty, password, admin, etc. são comumente usadas ou definidas como senhas padrão. Se eles não foram alterados ou se o usuário é descuidado ao selecionar as senhas, eles podem ser facilmente comprometidos.
  • Spidering - a maioria das organizações usa senhas que contêm informações da empresa. Essas informações podem ser encontradas em sites de empresas, mídias sociais como Facebook, Twitter, etc. O Spidering coleta informações dessas fontes para criar listas de palavras. A lista de palavras é então usada para executar ataques de dicionário e de força bruta.

Aranha lista de palavras de ataque de dicionário de amostra 

1976 smith jones acme built|to|last golfing|chess|soccer  

Ferramenta de quebra de senha


Esses são programas de software usados ​​para quebrar senhas de usuários . Já vimos uma ferramenta semelhante no exemplo acima sobre a força da senha. O site www.md5this.com usa uma tabela de arco-íris para quebrar senhas. Vamos agora dar uma olhada em algumas das ferramentas comumente usadas


John the Ripper


John the Ripper usa o prompt de comando para decifrar senhas. Isso o torna adequado para usuários avançados que se sentem confortáveis ​​para trabalhar com comandos. Ele usa a lista de palavras para quebrar senhas. O programa é gratuito, mas a lista de palavras precisa ser comprada. Possui listas de palavras alternativas gratuitas que você pode usar. Visite o site do produto https://www.openwall.com/john/ para obter mais informações e como usá-lo.


Caim e Abel


Caim e Abel são executados no Windows. É usado para recuperar senhas de contas de usuários, recuperação de senhas do Microsoft Access; sniffing de rede, etc. Ao contrário de John the Ripper, Cain & Abel usa uma interface gráfica de usuário. É muito comum entre novatos e script kiddies devido à sua simplicidade de uso. Visite o site do produto https://www.softpedia.com/get/Security/Decrypting-Decoding/Cain-and-Abel.shtml para obter mais informações e como usá-lo.





Ophcrack


Ophcrack é um cracker de senha do Windows de plataforma cruzada que usa tabelas rainbow para quebrar senhas. Ele roda em Windows, Linux e Mac OS. Ele também possui um módulo para ataques de força bruta, entre outros recursos. Visite o site do produto https://ophcrack.sourceforge.io/ para obter mais informações e como usá-lo.



Medidas de contador de quebra de senha


    

  • Uma organização pode usar os seguintes métodos para reduzir as chances de as senhas serem quebradas
    • 

  • Evite senhas curtas e facilmente previsíveis
    • 

  • Evite usar senhas com padrões previsíveis, como 11552266.
    • 

  • As senhas armazenadas no banco de dados devem sempre ser criptografadas. Para criptografias md5, é melhor salgar os hashes de senha antes de armazená-los. Salting envolve adicionar alguma palavra à senha fornecida antes de criar o hash.
    • 

  • A maioria dos sistemas de registro tem indicadores de força de senha, as organizações devem adotar políticas que favoreçam números altos de força de senha.
    • 




Atividade de hack: hack agora!


Neste cenário prático, vamos quebrar a conta do Windows com uma senha simples . O Windows usa hashes NTLM para criptografar senhas . Usaremos a ferramenta cracker NTLM em Cain e Abel para fazer isso.


O cracker Cain e Abel pode ser usado para quebrar senhas usando;


    

  • Ataque de dicionário
    • 

  • Força bruta
    • 

  • Criptanálise
    • 



Usaremos o ataque de dicionário neste exemplo. Você precisará baixar a lista de palavras de ataque de dicionário aqui 10k-Most-Common.zip


Para esta demonstração, criamos uma conta chamada Contas com a senha qwerty no Windows 7.



Etapas de quebra de senha


    

  • Abra Caim e Abel , você terá a seguinte tela principal
    • 



    

  • Certifique-se de que a guia cracker esteja selecionada como mostrado acima
    • 

  • Clique no botão Adicionar na barra de ferramentas.
    • 



    

  • A seguinte janela de diálogo aparecerá
    • 



    

  • As contas de usuário local serão exibidas conforme a seguir. Observe que os resultados mostrados serão das contas de usuário em sua máquina local.
    • 



    

  • Clique com o botão direito na conta que você deseja crackear. Para este tutorial, usaremos Contas como a conta do usuário.
    • 



    

  • A seguinte tela irá aparecer
    • 



    

  • Clique com o botão direito na seção do dicionário e selecione Adicionar ao menu da lista como mostrado acima
    • 

  • Navegue até o arquivo 10k most common.txt que você acabou de baixar
    • 



    

  • Clique no botão iniciar
    • 

  • Se o usuário usou uma senha simples como qwerty, você deve ser capaz de obter os seguintes resultados.
    • 



    

  • Nota : o tempo que leva para quebrar a senha depende da força, complexidade e poder de processamento da sua máquina.
    • 

  • Se a senha não for quebrada usando um ataque de dicionário, você pode tentar ataques de força bruta ou criptoanálise.
    • 




Resumo


    

  • A quebra de senhas é a arte de recuperar senhas armazenadas ou transmitidas.
    • 

  • A força da senha é determinada pelo comprimento, complexidade e imprevisibilidade de um valor de senha.
    • 

  • Técnicas de senha comuns incluem ataques de dicionário, força bruta, tabelas de arco-íris, spidering e cracking.
    • 

  • As ferramentas de quebra de senha simplificam o processo de quebra de senhas.
    •