10 Die beliebtesten Tools zum Knacken von Kennwörtern [Aktualisiert 2020]
Kennwörter sind die am häufigsten verwendete Methode zur Benutzerauthentifizierung. Passwörter sind so beliebt, weil die Logik dahinter für Menschen sinnvoll ist und sie für Entwickler relativ einfach zu implementieren sind.
Kennwörter können jedoch auch Sicherheitslücken aufweisen. Password Cracker wurden entwickelt, um bei einem Datenverstoß oder einem anderen Hack gestohlene Anmeldeinformationsdaten zu erfassen und Passwörter daraus zu extrahieren.
Was ist Passwort-cracking?,
Ein gut gestaltetes passwortbasiertes Authentifizierungssystem speichert das tatsächliche Passwort eines Benutzers nicht. Dies würde es einem Hacker oder böswilligen Insider viel zu einfach machen, auf alle Benutzerkonten im System zuzugreifen.
Stattdessen speichern Authentifizierungssysteme einen Passwort-Hash, der das Ergebnis des Sendens des Passworts — und eines zufälligen Werts namens salt — über eine Hash-Funktion ist. Hash-Funktionen sind einweg konzipiert, was bedeutet, dass es sehr schwierig ist, die Eingabe zu bestimmen, die eine bestimmte Ausgabe erzeugt., Da Hash-Funktionen auch deterministisch sind (was bedeutet, dass dieselbe Eingabe dieselbe Ausgabe erzeugt), ist der Vergleich von zwei Passwort-Hashes (dem gespeicherten und dem von einem Benutzer bereitgestellten Hash des Passworts) fast so gut wie der Vergleich der realen Passwörter.
Password Cracking bezieht sich auf das Extrahieren von Passwörtern aus dem zugehörigen Passwort-Hash. Dies kann auf verschiedene Arten erreicht werden:
- Wörterbuchangriff: Die meisten Menschen verwenden schwache und häufige Passwörter., Wenn Sie eine Liste von Wörtern erstellen und einige Permutationen hinzufügen, z. B. $ durch s ersetzen, kann ein Passwortcracker sehr schnell viele Passwörter lernen.
- Brute-Force-Vermutungsangriff: Es gibt nur so viele potenzielle Passwörter einer bestimmten Länge. Während langsam, ein Brute-Force-Angriff (versuchen alle möglichen Passwort-Kombinationen) garantiert, dass ein Angreifer das Passwort schließlich knacken.
- Hybrid attack: Ein Hybrid attack mischt diese beiden Techniken., Es beginnt mit der Überprüfung, ob ein Passwort mit einem Wörterbuchangriff geknackt werden kann, und geht dann zu einem Brute-Force-Angriff über, wenn er nicht erfolgreich ist.
Die meisten Tools zum Knacken von Passwörtern oder zum Suchen von Passwörtern ermöglichen es einem Hacker, eine dieser Arten von Angriffen auszuführen. Dieser Beitrag beschreibt einige der am häufigsten verwendeten Tools zum Knacken von Passwörtern.
Hashcat
Hashcat ist einer der beliebtesten und am weitesten verbreiteten Passwort-Cracker überhaupt. Es ist auf jedem Betriebssystem verfügbar und unterstützt über 300 verschiedene Arten von Hashes.,
Hashcat ermöglicht hochparallelisiertes Passwort-Cracken mit der Möglichkeit, mehrere verschiedene Passwörter auf mehreren verschiedenen Geräten gleichzeitig zu knacken und ein verteiltes Hash-Cracking-System über Overlays zu unterstützen. Das Cracken wird mit integrierter Leistungsabstimmung und Temperaturüberwachung optimiert.
Laden Sie Hashcat hier herunter.
John the Ripper
John the Ripper ist ein bekanntes kostenloses Open-Source-Tool zum Knacken von Kennwörtern für Linux, Unix und Mac OS X. Eine Windows-Version ist ebenfalls verfügbar.,
John the Ripper bietet Passwort-Cracking für eine Vielzahl von verschiedenen Passworttypen. Es geht über OS-Passwörter hinaus, um gängige Web-Apps (wie WordPress), komprimierte Archive, Dokumentdateien (Microsoft Office-Dateien, PDFs usw.) und mehr einzuschließen.
Es ist auch eine Pro-Version des Tools verfügbar, die bessere Funktionen und native Pakete für Zielbetriebssysteme bietet. Sie können auch Openwall GNU/*/Linux herunterladen, das mit John the Ripper geliefert wird.
Laden Sie John the Ripper hier herunter.
Brutus
Brutus ist eines der beliebtesten Remote-Online-Tools zum Knacken von Passwörtern., Es behauptet, das schnellste und flexibelste Passwort-Cracking-Tool zu sein. Dieses tool ist kostenlos und ist nur für Windows-Systeme verfügbar. Es wurde im Oktober 2000 veröffentlicht.,authentication types, including:
- HTTP (basic authentication)
- HTTP (HTML Form/CGI)
- POP3
- FTP
- SMB
- Telnet
- IMAP
- NNTP
- NetBus
- Custom protocols
It is also capable of supporting multi-stage authentication protocols and can attack up to sixty different targets in parallel., Es bietet auch die Möglichkeit, einen Angriff anzuhalten, fortzusetzen und zu importieren.
Brutus wurde seit mehreren Jahren nicht mehr aktualisiert. Seine Unterstützung für eine Vielzahl von Authentifizierungsprotokollen und die Möglichkeit, benutzerdefinierte Module hinzuzufügen, machen es jedoch zu einem beliebten Tool für Online-Angriffe auf Kennwörter.
Holen Sie sich hier den Brutus Password Finder online.
Wfuzz
Wfuzz ist ein Web-Anwendung Passwort-Cracking-Tool wie Brutus, die Passwörter über einen Brute-Force-Erraten Angriff zu knacken versucht. Es kann auch verwendet werden, um versteckte Ressourcen wie Verzeichnisse, Servlets und Skripte zu finden., Wfuzz kann auch Injection-Schwachstellen in einer Anwendung wie SQL Injection, XSS Injection und LDAP Injection identifizieren.,8758f“>Ausgabe in farbigem HTML
THC Hydra
THC Hydra ist ein Online-Tool zum Knacken von Kennwörtern, mit dem versucht wird, Benutzeranmeldeinformationen über Brute-Force-Passworträtselangriff zu ermitteln., Es ist erhältlich für Windows, Linux, Free BSD, Solaris und OS X.
Laden Sie THC-Hydra hier.
Wenn Sie Entwickler sind, können Sie auch zur Entwicklung des Tools beitragen.
Medusa
Medusa ist ein Befehlszeilenwerkzeug, daher ist ein gewisses Maß an Befehlszeilenwissen erforderlich, um es zu verwenden. Die Geschwindigkeit zum Knacken von Passwörtern hängt von der Netzwerkkonnektivität ab. Auf einem lokalen System können 2.000 Passwörter pro Minute getestet werden.
Medusa unterstützt auch parallelisierte Angriffe., Neben einer Wortliste von Passwörtern zum Ausprobieren ist es auch möglich, eine Liste von Benutzernamen oder E-Mail-Adressen zu definieren, die während eines Angriffs getestet werden sollen.
mehr dazu Lesen Sie hier.
Medusa hier herunterladen.
RainbowCrack
Alle Passwortcracks unterliegen einem Zeitspeicher-Kompromiss. Wenn ein Angreifer eine Tabelle mit Passwort/Hash-Paaren vorberechnet und als „Regenbogentabelle“ gespeichert hat, wird der Kennwortcrackprozess auf eine Tabellensuche vereinfacht., Aus diesem Grund werden Passwörter jetzt gesalzen: Hinzufügen eines eindeutigen, zufälligen Wertes zu jedem Passwort vor dem Hashing bedeutet, dass die Anzahl der erforderlichen Rainbow-Tabellen viel größer ist.
RainbowCrack ist ein Tool zum Knacken von Passwörtern, das für die Verwendung von Rainbow Tables entwickelt wurde. Es ist möglich, benutzerdefinierte Regenbogentabellen zu generieren oder bereits vorhandene aus dem Internet heruntergeladene Tabellen zu nutzen. RainbowCrack bietet kostenlose Downloads von Rainbow-Tabellen für die Kennwortsysteme LANMAN, NTLM, MD5 und SHA1 an.
Laden Sie rainbow tables hier herunter.,
Ein paar bezahlte Regenbogentische sind ebenfalls erhältlich, die Sie hier kaufen können.
Dieses Tool ist sowohl für Windows-als auch für Linux-Systeme verfügbar.
Download RainbowCrack hier.
OphCrack
OphCrack ist ein kostenloses Rainbow Table-basiertes Passwort-Cracking-Tool für Windows. Es ist das beliebteste Windows-Passwort-Cracking-Tool, kann aber auch auf Linux-und Mac-Systemen verwendet werden. Es knackt LM-und NTLM-hashes. Zum Knacken von Windows XP, Vista und Windows 7 sind auch kostenlose Rainbow-Tabellen verfügbar.
Zur Vereinfachung des Crackens steht auch eine Live-CD von OphCrack zur Verfügung., Man kann die Live-CD von OphCrack verwenden, um Windows – basierte Passwörter zu knacken. Dieses tool ist kostenlos verfügbar.
Laden Sie OphCrack hier herunter.
Laden Sie hier kostenlose und Premium Rainbow Tables für OphCrack herunter.
L0phtCrack
L0phtCrack ist eine alternative zu OphCrack. Es versucht, Windows-Passwörter von Hashes zu knacken. Zum Knacken von Kennwörtern werden Windows-Workstations, Netzwerkserver, primäre Domänencontroller und Active Directory verwendet. Es verwendet auch Wörterbuch-und Brute-Force-Angriffe zum Generieren und Erraten von Passwörtern. Es wurde von Symantec erworben und 2006 eingestellt., Später haben L0pht-Entwickler es erneut erworben und L0phtCrack in 2009 gestartet.
L0phtCrack bietet auch die Möglichkeit, routinemäßige Passwortsicherheitsscans zu scannen. Man kann tägliche, wöchentliche oder monatliche Audits einstellen und zum geplanten Zeitpunkt mit dem Scannen beginnen.
Erfahren Sie mehr über L0phtCrack hier.
Aircrack-ng
Aircrack-ng ist ein Wi-Fi-Passwort-Cracking-Tool, das WEP-oder WPA/WPA2-PSK-Passwörter knacken kann. Es analysiert drahtlose verschlüsselte Pakete und versucht dann, Passwörter über die Wörterbuchangriffe und die PTW, FMS und andere Cracking-Algorithmen zu knacken., Es ist für Linux-und Windows-Systeme verfügbar. Eine Live-CD von Aircrack ist ebenfalls erhältlich.
Aircrack-ng-tutorials sind hier verfügbar.
Laden Sie Aircrack-ng hier herunter.
So erstellen Sie ein Passwort, das schwer zu knacken ist
In diesem Beitrag haben wir 10 Tools zum Knacken von Passwörtern aufgelistet. Diese Tools versuchen, Passwörter mit verschiedenen Passwort-Cracking-Algorithmen zu knacken. Die meisten Tools zum Knacken von Passwörtern sind kostenlos verfügbar. Sie sollten also immer versuchen, ein starkes Passwort zu haben, das schwer zu knacken ist. Dies sind einige Tipps, die Sie beim Erstellen eines Passworts ausprobieren können.,
- Je länger das Passwort ist, desto schwieriger ist es zu knacken: Passwortlänge ist der wichtigste Faktor. Die Komplexität eines brute-force-Angriff erraten wächst exponentiell mit der Länge des Passwortes. Ein zufälliges siebenstelliges Passwort kann in wenigen Minuten geknackt werden, während ein zehnstelliges Passwort Hunderte von Jahren dauert.,
- Verwenden Sie immer eine Kombination aus Zeichen, Zahlen und Sonderzeichen: Die Verwendung einer Vielzahl von Zeichen erschwert auch das Erraten von Brute-Force-Kennwörtern, da Cracker eine größere Auswahl an Optionen für jedes Zeichen des Kennworts ausprobieren müssen. Integrieren Sie Zahlen und Sonderzeichen und nicht nur am Ende des Passworts oder als Buchstabensubstitution (wie @ für a).,
- Variety in passwords: Credential stuffing attacks verwenden Bots, um zu testen, ob von einem Online-Konto gestohlene Passwörter auch für andere Konten verwendet werden. Eine Datenschutzverletzung bei einem winzigen Unternehmen könnte ein Bankkonto gefährden, wenn dieselben Anmeldeinformationen verwendet werden. Verwenden Sie ein langes, zufälliges und eindeutiges Passwort für alle Online-Konten.
Was Sie bei der Auswahl Ihres Passworts vermeiden sollten
Cyberkriminelle und Passwort-Cracker-Entwickler kennen alle „cleveren“ Tricks, mit denen Benutzer ihre Passwörter erstellen., Einige häufige Passwortfehler, die vermieden werden sollten, sind:
- Verwenden eines Wörterbuchworts: Wörterbuchangriffe dienen zum Testen jedes Wortes im Wörterbuch (und allgemeiner Permutationen) in Sekunden.
- Unter Verwendung persönlicher Informationen: Der Name eines Haustieres, der Name eines Verwandten, der Geburtsort, der Lieblingssport usw. sind alle Wörterbuchwörter. Selbst wenn dies nicht der Fall wäre, gibt es Tools, um diese Informationen aus sozialen Medien abzurufen und daraus eine Wortliste für einen Angriff zu erstellen.,
- Verwenden von Mustern: Kennwörter wie 1111111, 12345678, qwerty und asdfgh sind einige der am häufigsten verwendeten. Sie sind auch in der Wortliste jedes Passwortcrackers enthalten.
- Verwenden von Zeichenersetzungen: Zeichenersetzungen wie 4 für A und $ für S sind bekannt. Wörterbuchangriffe testen diese Ersetzungen automatisch.
- Mit Zahlen und Sonderzeichen nur am Ende: Die meisten Menschen setzen ihre erforderlichen Zahlen und Sonderzeichen am Ende des Passworts., Diese Muster sind in Passwortcracker integriert.
- Gemeinsame Passwörter verwenden: Jedes Jahr veröffentlichen Unternehmen wie Splashdata Listen der am häufigsten verwendeten Passwörter. Sie erstellen diese Listen, indem sie verletzte Passwörter knacken, genau wie ein Angreifer. Verwenden Sie niemals die Passwörter auf diesen Listen oder ähnlichem.
- Verwenden Sie nur ein zufälliges Passwort: Passwörter sollten lang, zufällig und eindeutig sein. Verwenden Sie einen Passwortmanager, um Passwörter für Online-Konten sicher zu generieren und zu speichern.,
Password-Cracking-Tools wurden entwickelt, um die Passwort-Hashes zu übernehmen, die während einer Datenverletzung durchgesickert oder mit einem Angriff gestohlen wurden, und die ursprünglichen Passwörter daraus zu extrahieren. Sie erreichen dies, indem sie die Verwendung schwacher Passwörter nutzen oder jedes potenzielle Passwort einer bestimmten Länge ausprobieren.
Passwort finder können verwendet werden für eine vielzahl von verschiedenen zwecken, nicht alle von ihnen schlecht., Während sie häufig von Cyberkriminellen verwendet werden, können Sicherheitsteams sie auch verwenden, um die Stärke der Passwörter ihrer Benutzer zu überprüfen und das Risiko schwacher Passwörter für das Unternehmen zu bewerten.