10 mest populære værktøjer til Adgangskodekrakning [opdateret 2020]
adgangskoder er den mest almindeligt anvendte metode til brugergodkendelse. Adgangskoder er så populære, fordi logikken bag dem giver mening for folk, og de er relativt let for udviklere at implementere.
adgangskoder kan dog også introducere sikkerhedssårbarheder. Pass .ord crackers er designet til at tage legitimationsdata stjålet i et dataovertrædelse eller andet hack og udtrække adgangskoder fra det.
Hvad er pass ?ord cracking?,
et veldesignet adgangskodebaseret godkendelsessystem gemmer ikke en brugers faktiske adgangskode. Dette ville gøre det alt for let for en hacker eller en ondsindet insider at få adgang til alle brugerkonti på systemet.
i stedet gemmer autentificeringssystemer en adgangskodehash, hvilket er resultatet af at sende adgangskoden — og en tilfældig værdi kaldet et salt — gennem en hash-funktion. Hash-funktioner er designet til at være envejs, hvilket betyder, at det er meget vanskeligt at bestemme det input, der producerer en given output., Da hashfunktioner også er deterministiske (hvilket betyder, at den samme input producerer den samme output), er sammenligning af to adgangskodehascher (den gemte og hash for adgangskoden leveret af en bruger) næsten lige så god som at sammenligne de rigtige adgangskoder.
pass Passwordord cracking refererer til processen med at udtrække adgangskoder fra den tilhørende adgangskode hash. Dette kan opnås på et par forskellige måder:
- ordbogsangreb: de fleste bruger svage og almindelige adgangskoder., At tage en liste over ord og tilføje et par permutationer — som at erstatte $ for s — gør det muligt for en adgangskodecracker at lære mange adgangskoder meget hurtigt.
- Brute-force gætte angreb: Der er kun så mange potentielle adgangskoder af en given længde. Mens det er langsomt, garanterer et brute-force-angreb (forsøger alle mulige adgangskodekombinationer), at en angriber vil knække adgangskoden til sidst.
- Hybridangreb: et hybridangreb blander disse to teknikker., Det starter med at kontrollere, om en adgangskode kan knækkes ved hjælp af et ordbogsangreb, og går derefter videre til et brute-force-angreb, hvis det ikke lykkes.
de fleste pass .ord-cracking eller pass .ord finder værktøjer gør det muligt for en hacker at udføre nogen af disse typer angreb. Dette indlæg beskriver nogle af de mest almindeligt anvendte pass .ord-krakning værktøjer.
Hashcat
Hashcat er en af de mest populære og udbredte pass .ord crackers i eksistens. Den er tilgængelig på alle operativsystemer og understøtter over 300 forskellige typer af hashes.,
Hashcat gør det muligt meget-parallelized password cracking med evnen til at knække flere forskellige adgangskoder til flere forskellige enheder på samme tid, og evnen til at støtte en distribueret hash-sprængning-system via overlejringer. Cracking er optimeret med integreret ydeevne tuning og temperatur overvågning.
do .nload Hashcat her.
John the Ripper
John the Ripper, er et velkendt gratis open-source password cracking tool til Linux, Unix og Mac OS X. En Windows-version er også tilgængelig.,
John the Ripper tilbyder pass .ord cracking til en række forskellige adgangskodetyper. Det går ud over os-adgangskoder til at omfatte almindelige appebapps (som Worordpress), komprimerede arkiver, dokumentfiler (Microsoft Office-filer, PDF-filer og så videre) og meget mere.
en pro-version af værktøjet er også tilgængelig, som tilbyder bedre funktioner og native pakker til måloperativsystemer. Du kan også do .nloade Open .all GNU/*/Linu., der følger med John the Ripper.do .nload John the Ripper her.
Brutus
Brutus er en af de mest populære fjernbetjening online pass .ord-krakning værktøjer., Det hævder at være den hurtigste og mest fleksible pass .ord krakning værktøj. Dette værktøj er gratis og er kun tilgængeligt for .indo .s-systemer. Det blev udgivet tilbage i oktober 2000.,authentication types, including:
- HTTP (basic authentication)
- HTTP (HTML Form/CGI)
- POP3
- FTP
- SMB
- Telnet
- IMAP
- NNTP
- NetBus
- Custom protocols
It is also capable of supporting multi-stage authentication protocols and can attack up to sixty different targets in parallel., Det giver også mulighed for at pause, genoptage og importere et angreb.Brutus er ikke blevet opdateret i flere år. Men, dens støtte til en bred vifte af autentificering protokoller og evnen til at tilføje brugerdefinerede moduler gør det til et populært værktøj til online pass .ord cracking angreb.
Hent Brutus pass .ord finder online her.
Wfuzz
Wfuzz er en web-applikation password-cracking værktøj som Brutus, der forsøger at knække adgangskoder via en brute-force gætte angreb. Det kan også bruges til at finde skjulte ressourcer som mapper, servlets og scripts., WFU.. kan også identificere injektionssårbarheder i en applikation som S .l-injektion, injectionss-injektion og LDAP-injektion.,8758f”>Output i farvet HTML
THC Hydra
THC Hydra er et online password-cracking værktøj, der forsøger at bestemme brugeroplysninger via brute-force password gætte angreb., Den er tilgængelig til Windowsindo .s, Linu., gratis BSD, Solaris og Os..
do .nload THC Hydra her.
Hvis du er udvikler, kan du også bidrage til værktøjets udvikling.
Medusa
Medusa er et kommandolinjeværktøj, så et vist niveau af kommandolinjekendskab er nødvendigt for at bruge det. Pass crackingord-cracking hastighed afhænger af netværksforbindelse. På et lokalt system kan det teste 2.000 adgangskoder pr.
Medusa understøtter også paralleliserede angreb., Ud over en ordliste over adgangskoder, der skal prøves, er det også muligt at definere en liste over brugernavne eller e-mail-adresser, der skal testes under et angreb.
Læs mere om dette her.
do .nload Medusa her.
Rainbo .crack
alle Pass crackingord-cracking er underlagt en time-memory tradeoff. Hvis en angriber har forudberegnet en tabel med adgangskode / hash-par og gemt dem som et” regnbue-bord”, forenkles adgangskodekrakningsprocessen til et bordopslag., Denne trussel er grunden til, at adgangskoder nu saltes: tilføjelse af en unik, tilfældig værdi til hver adgangskode før hashing betyder det, at antallet af regnbue-tabeller, der kræves, er meget større.rainbo .crack er et pass .ord cracking værktøj designet til at arbejde ved hjælp af regnbue tabeller. Det er muligt at generere brugerdefinerede regnbue tabeller eller drage fordel af allerede eksisterende dem do .nloadet fra internettet. RainbowCrack tilbyder gratis downloads af rainbow tabeller for LANMAN, NTLM, MD5 og SHA1 password-systemer.
do .nload regnbue tabeller her.,
et par betalte regnbueborde er også tilgængelige, som du kan købe herfra.
dette værktøj er tilgængeligt for både Linindo .s og Linu. – systemer.
do .nload Rainbo .crack her.
OphCrack
OphCrack er et gratis regnbue bordbaseret pass .ord cracking værktøj til Windowsindo .s. Det er den mest populære passwordindo .s pass .ord revner værktøj, men kan også bruges på Linu.og Mac-systemer. Det revner LM og NTLM hashes. Til krakning af crackingindo .s .p, Vista og 7indo .s 7 er gratis regnbueborde også tilgængelige.
en live CD med OphCrack er også tilgængelig for at forenkle krakningen., Man kan bruge Live CD of OphCrack til at knække Windowsindo .s-baserede adgangskoder. Dette værktøj er tilgængeligt gratis.
do .nload OphCrack her.
do .nload gratis og premium regnbue borde til OphCrack her.
L0phtCrack
L0phtCrack er et alternativ til OphCrack. Den forsøger at knække Windowsindo .s-adgangskoder fra hashes. For at knække adgangskoder bruger den workindo .s-arbejdsstationer, netværksservere, primære domænecontrollere og Active Directory. Det bruger også ordbog og brute-force-angreb til at generere og gætte adgangskoder. Det blev overtaget af Symantec og ophørte i 2006., Senere genvandt l0pht-udviklere det igen og lancerede L0phtCrack i 2009.
L0phtCrack leveres også med evnen til at scanne rutinemæssige adgangskodesikkerhedsscanninger. Man kan indstille daglige, ugentlige eller månedlige revisioner, og det vil begynde at scanne på det planlagte tidspunkt.
Lær om L0phtCrack her.
Aircrack-ng
Aircrack-ng er en Wi-Fi password-cracking værktøj, der kan knække WEP-eller WPA – /WPA2-PSK-adgangskode. Den analyserer trådløse krypterede pakker og derefter forsøger at knække adgangskoder via ordbog angreb og PT., FMS og andre Revner algoritmer., Den er tilgængelig for Linu.og systemsindo .s-systemer. En live CD med Aircrack er også tilgængelig.
Aircrack-ng tutorials er tilgængelige her.
do .nload Aircrack-ng her.
Sådan oprettes en adgangskode, der er svær at knække
i dette indlæg har vi listet 10 adgangskodekrakningsværktøjer. Disse værktøjer forsøger at knække adgangskoder med forskellige pass .ord-cracking algoritmer. De fleste af pass .ord cracking værktøjer er tilgængelige gratis. Så du skal altid prøve at have en stærk adgangskode, der er svær at knække. Dette er et par tip, du kan prøve, mens du opretter en adgangskode.,
- jo længere adgangskoden er, desto sværere er det at knække: Adgangskodelængde er den vigtigste faktor. Kompleksiteten af en brute force pass .ord gætte angreb vokser eksponentielt med længden af adgangskoden. En tilfældig adgangskode på syv tegn kan knækkes på få minutter, mens en ti tegn tager hundreder af år.,
- brug Altid en kombination af bogstaver, tal og specielle tegn: ved Hjælp af en række tegn, gør også brute-force gætte adgangskoden mere vanskelig, da det betyder, at kiks er nødt til at prøve en bredere vifte af muligheder for hvert tegn i kodeordet. Indarbejd tal og specialtegn og ikke kun i slutningen af adgangskoden eller som en brevsubstitution (som @ for a).,
- Variety in pass .ords: Credential stuffing attacks brug bots til at teste, om adgangskoder stjålet fra en online konto også bruges til andre konti. Et dataovertrædelse hos et lille firma kan kompromittere en bankkonto, hvis de samme legitimationsoplysninger bruges. Brug en lang, tilfældig og unik adgangskode til alle online-konti.
Hvad skal man undgå, mens du vælger din adgangskode
cyberkriminelle og adgangskodecracker-udviklere kender alle de “kloge” tricks, som folk bruger til at oprette deres adgangskoder., Et par almindelige adgangskodefejl, der bør undgås, inkluderer:
- brug af et ordbogsord: ordbogsangreb er designet til at teste hvert ord i ordbogen (og almindelige permutationer) på få sekunder.
- brug af personlige oplysninger: et kæledyrs navn, slægtninges navn, fødested, yndlingssport og så videre er alle ordbogsord. Selvom de ikke var det, findes der værktøjer til at få fat i disse oplysninger fra sociale medier og opbygge en ordliste fra den til et angreb.,
- brug af mønstre: adgangskoder som 1111111, 12345678,. .erty og asdfgh er nogle af de mest almindeligt anvendte, der findes. De er også inkluderet i hver pass .ord cracker ordliste.
- Brug karakter udskiftninger: Karakter udskiftninger som 4 for A og $ for S er kendt. Ordbog angreb test for disse substitutioner automatisk.
- Brug kun tal og specialtegn i slutningen: de fleste sætter deres krævede tal og specialtegn i slutningen af adgangskoden., Disse mønstre er indbygget i Pass .ord crackers.
- brug af almindelige adgangskoder: hvert år offentliggør virksomheder som Splashdata lister over de mest almindeligt anvendte adgangskoder. De opretter disse lister ved at knække overbrudte adgangskoder, ligesom en angriber ville. Brug aldrig adgangskoderne på disse lister eller noget lignende.
- brug af andet end en tilfældig adgangskode: adgangskoder skal være lange, tilfældige og unikke. Brug en adgangskodeadministrator til sikkert at generere og gemme adgangskoder til onlinekonti.,
Konklusion
Password-cracking værktøj er designet til at tage password hashes lækket i et data, brud eller stjålet ved hjælp af et angreb, og udtrække den oprindelige adgangskoder fra dem. De opnår dette ved at drage fordel af brugen af svage adgangskoder eller ved at prøve enhver potentiel adgangskode i en given længde.
Pass Passwordord finders kan bruges til en række forskellige formål, ikke alle af dem dårlige., Mens de er almindeligt anvendt af cyberkriminelle, sikkerhed teams kan også bruge dem til at revidere styrken af deres brugeres adgangskoder og vurdere risikoen for svage adgangskoder til organisationen.