什麽是密碼破解?
密碼破解是嘗試使用普通密碼或猜測密碼的算法獲得對受限繫統的未授權訪問的過程。換句話說,這是一門獲得正確密碼的藝術,可以訪問受身份驗證方法保護的繫統。
密碼破解採用多種技術來實現其目標。破解過程可能涉及將存儲的密碼與單詞列錶進行比較或使用算法生成匹配的密碼。
在本教程中,我們將嚮您介紹常見的密碼破解駭客技術以及您可以實施的保護繫統免受此類攻擊的對策。
什麽是密碼強度?
密碼強度是衡量密碼抵抗密碼破解攻擊效率的指標。密碼的強度由以下因素決定;
長度:密碼包含的字符數。
復雜性:它是否使用字母、數字和符號的組合?
不可預測性:是否是攻擊者可以輕易猜到的東西?
現在讓我們看一個實際的例子。我們將使用三個密碼即
1. 密碼
2. 密碼1
3. #密碼1$
對於這個例子,我們將在創建密碼時使用 Cpanel 的密碼強度指示器。下圖顯示了上面列出的每個密碼的密碼強度。
註意:使用的密碼是password,強度為1,非常弱。
註意:使用的密碼是password1,強度是28,還是比較弱的。
注意:使用的密码是#password1$,强度为 60,强度很高。
强度数字越高,密码越好。
假设我们必须使用 md5 加密来存储上述密码。我们将使用在线md5 散列生成器将我们的密码转换为 md5 散列。
下表显示了密码散列
| 密码 | MD5 散列 | Cpanel 强度指标 |
|---|---|---|
| 密码 | 5f4dcc3b5aa765d61d8327deb882cf99 | 1个 |
| 密码1 | 7c6a180b36896a0a8c02787eeafb0e4c | 28 |
| #密码1$ | 29e08fb7103c327d68327f23d8d9256c | 60 |
我們現在將用於http://www.md5this.com/破解上述散列值。下圖顯示了上述密碼的密碼破解結果。
從上面的結果可以看出,我們成功破解了強度較低的第一個和第二個密碼。我們未能成功破解第三個密碼,該密碼更長、更復雜且難以預測。它有更高的力量數字。
密碼破解技術
有許多技術可用於破解密碼。我們將在下面描述最常用的;
字典攻擊——此方法涉及使用單詞列錶與用戶密碼進行比較。
蠻力攻擊——這種方法類似於字典攻擊。蠻力攻擊使用結合字母數字字符和符號的算法來提供攻擊密碼。例如,值“password”的密碼也可以嘗試使用暴力攻擊作為 p@$$word。
彩虹錶攻擊——此方法使用預先計算的散列值。假設我們有一個將密碼存儲為 md5 散列的數據庫。我們可以創建另一個數據庫,其中包含常用密碼的 md5 散列值。然後我們可以將我們擁有的密碼散列與數據庫中存儲的散列進行比較。如果找到匹配項,那麽我們就有了密碼。
猜——顧名思義,這種方法涉及猜測。qwerty、password、admin等常用密碼或設定為預設密碼。如果它們沒有被更改或者如果用戶在選擇密碼時粗心大意,那麽它們很容易被破壞。
Spidering——大多數組織使用包含公司信息的密碼。這些信息可以在公司網站、社交媒體(如 facebook、twitter 等)上找到。Spidering 從這些來源收集信息以得出單詞列錶。單詞列錶然後用於執行字典和暴力攻擊。
密碼破解駭客服務及駭客工具
這些是用於破解用戶密碼的軟體程式。我們已經在上面的密碼強度示例中檢視了類似的工具。該網站http://www.md5this.com/使用彩虹錶來破解密碼。我們現在來看看一些常用的工具
開膛手約翰
開膛手約翰使用命令提示符來破解密碼。這使得它適合習慣使用命令的高級用戶。它使用 wordlist 來破解密碼。該程式是免費的,但必須購買單詞列錶。它有免費的備選單詞列錶供您使用。訪問產品網站https://www.openwall.com/john/了解更多信息和使用方法。
該隱與亞伯
該隱與亞伯在 Windows 上運行。用於恢復用戶賬戶密碼,恢復Microsoft Access密碼;網路嗅探等。與開膛手約翰不同,該隱與亞伯使用圖形用戶界面。由於使用簡單,它在新手和腳本小子中很常見。訪問產品網站https://sectools.org/tool/cain/了解更多信息和使用方法。
Ophcrack
Ophcrack 是一個跨平臺的 Windows 密碼破解程式,它使用彩虹錶來破解密碼。它可以在 Windows、Linux和 Mac OS 上運行。除了其他功能外,它還有一個用於暴力攻擊的模塊。訪問產品網站https://ophcrack.sourceforge.io/ 了解更多信息和使用方法。
密碼破解對策
組織可以使用以下方法來減少密碼被破解的機會
避免使用簡短且容易預測的密碼
避免使用具有可預測模式的密碼,例如 11552266。
存儲在數據庫中的密碼必須始終加密。對於 md5 加密,最好在存儲密碼哈希之前加鹽。加鹽涉及在創建哈希之前嚮提供的密碼添加一些單詞。
大多數註冊繫統都有密碼強度指標,組織必須採用有利於高密碼強度數字的策略。
駭客活動:立即破解!
在這個實際場景中,我們將使用一個簡單的密碼破解 Windows 帳戶。Windows 使用 NTLM 散列來加密密碼。我們將使用 Cain and Abel 中的 NTLM 破解工具來做到這一點。
Cain and Abel cracker 可用於破解密碼;
字典攻擊
蠻力
密碼分析
我們將在這個例子中使用字典攻擊。您需要在此處下載字典攻擊詞錶10k-Most-Common.zip
對於此演示,我們在 Windows 7 上創建了一個名為 Accounts 的帳戶,密碼為 qwerty。
密碼破解步驟
打開Cain and Abel,妳會得到如下主界面
確保如上所示選擇了 cracker 選項卡
單擊工具欄上的添加按鈕。
將出現以下對話視窗
在地用戶帳戶將顯示如下。請註意,顯示的結果將是您在地計算機上的用戶帳戶。
右鍵單擊要破解的帳戶。對於本教程,我們將使用 Accounts 作為用戶帳戶。
將出現以下熒幕
右鍵單擊詞典部分併選擇添加到列錶菜單,如上所示
瀏覽到您剛剛下載的 10k most common.txt 文件
點選開始按鈕
如果用戶使用像 qwerty 這樣簡單的密碼,那麽妳應該能夠得到以下結果。
註意:破解密碼所需的時間取決於密碼強度、復雜程度和您機器的處理能力。
如果使用字典攻擊無法破解密碼,您可以嘗試暴力破解或密碼分析攻擊。
概括
密碼破解是恢復存儲或傳輸的密碼的藝術。
密碼強度由密碼值的長度、復雜性和不可預測性決定。
常見的密碼技術包括字典攻擊、暴力破解、彩虹錶、爬蟲和破解。
密碼破解工具簡化了破解密碼的過程。