10 outils de craquage de mots de passe les plus populaires [mise à jour 2020]
Les mots de passe sont la méthode la plus couramment utilisée pour l’authentification des utilisateurs. Les mots de passe sont si populaires parce que la logique qui les sous-tend est logique pour les gens et qu’ils sont relativement faciles à implémenter pour les développeurs.
cependant, les mots de passe peuvent également introduire des failles de sécurité. Les crackers de mots de passe sont conçus pour prendre des données d’identification volées lors d’une violation de données ou d’un autre piratage et en extraire les mots de passe.
qu’est-Ce que craquage de mot de passe?,
Un système d’authentification par mot de passe bien conçu ne stocke pas le mot de passe réel d’un utilisateur. Ce serait beaucoup trop facile pour un pirate ou d’un employé malveillant d’accéder à tous les comptes d’utilisateur sur le système.
Au Lieu de cela, les systèmes d’authentification stockent un hachage de mot de passe, qui est le résultat de l’envoi du mot de passe — et d’une valeur aléatoire appelée salt — via une fonction de hachage. Les fonctions de hachage sont conçues pour être à Sens Unique, ce qui signifie qu’il est très difficile de déterminer l’entrée qui produit une sortie donnée., Étant donné que les fonctions de hachage sont également déterministes (ce qui signifie que la même entrée produit la même sortie), comparer deux hachages de mot de passe (celui stocké et le hachage du mot de passe fourni par un utilisateur) est presque aussi bon que comparer les mots de passe réels.
le craquage de mot de passe fait référence au processus d’extraction des mots de passe du hachage de mot de passe associé. Cela peut être accompli de différentes manières:
- attaque par Dictionnaire: la plupart des gens utilisent des mots de passe faibles et courants., Prendre une liste de mots et ajouter quelques permutations — comme remplacer $ par s — permet à un pirate de mot de passe d’apprendre beaucoup de mots de passe très rapidement.
- attaque de devinettes par force Brute: il n’y a que beaucoup de mots de passe potentiels d’une longueur donnée. Bien que lente, une attaque par force brute (essayant toutes les combinaisons de mots de passe possibles) garantit qu’un attaquant craquera le mot de passe éventuellement.
- attaque Hybride: une attaque hybride mélange ces deux techniques., Il commence par vérifier si un mot de passe peut être fissuré à l’aide d’une attaque par dictionnaire, puis passe à une attaque par force brute si elle échoue.
La plupart des outils de craquage de mots de passe ou de recherche de mots de passe permettent à un pirate informatique d’effectuer l’un de ces types d’attaques. Cet article décrit certains des outils de craquage de mots de passe les plus couramment utilisés.
Hashcat
Hashcat est l’un des crackers de mots de passe les plus populaires et les plus utilisés. Il est disponible sur tous les systèmes d’exploitation et prend en charge plus de 300 types de hachages différents.,
Hashcat permet le craquage de mots de passe hautement parallélisé avec la possibilité de craquer plusieurs mots de passe différents sur plusieurs appareils différents en même temps et la possibilité de prendre en charge un système de craquage de hachage distribué via des superpositions. Le craquage est optimisé avec un réglage intégré des performances et une surveillance de la température.
téléchargez Hashcat ici.
John the Ripper
John the Ripper est un outil de craquage de mot de passe open source bien connu pour Linux, Unix et Mac OS X. Une version Windows est également disponible.,
John the Ripper offre le craquage de mots de passe pour une variété de types de mots de passe différents. Il va au-delà des mots de passe du système d’exploitation pour inclure des applications web courantes (comme WordPress), des archives compressées, des fichiers de documents (fichiers Microsoft Office, PDF, etc.), et plus encore.
Une version pro de l’outil est également disponible, qui offre de meilleures fonctionnalités et un paquet natif pour les systèmes d’exploitation cible. Vous pouvez également télécharger Openwall GNU / * / Linux fourni avec John the Ripper.
téléchargez John L’Éventreur ici.
Brutus
Brutus est l’un des outils de craquage de mots de passe en ligne les plus populaires., Il prétend être l’outil de craquage de mot de passe le plus rapide et le plus flexible. Cet outil est gratuit et est uniquement disponible pour les systèmes Windows. Il a été publié en octobre 2000.,authentication types, including:
- HTTP (basic authentication)
- HTTP (HTML Form/CGI)
- POP3
- FTP
- SMB
- Telnet
- IMAP
- NNTP
- NetBus
- Custom protocols
It is also capable of supporting multi-stage authentication protocols and can attack up to sixty different targets in parallel., Il offre également la possibilité de mettre en pause, reprendre et importer une attaque.
Brutus n’a pas été mis à jour depuis plusieurs années. Cependant, sa prise en charge d’une grande variété de protocoles d’authentification et sa possibilité d’ajouter des modules personnalisés en font un outil populaire pour les attaques de craquage de mots de passe en ligne.
obtenez le mot de passe Brutus en ligne ici.
Wfuzz
wfuzz est un outil de craquage de mots de passe d’application web comme Brutus qui essaie de casser les mots de passe via une attaque de devinettes par force brute. Il peut également être utilisé pour trouver des ressources cachées telles que des répertoires, des servlets et des scripts., Wfuzz peut également identifier les vulnérabilités d’injection dans une application telle que L’injection SQL, l’injection XSS et L’injection LDAP.,8758f »>sortie en HTML coloré
THC Hydra
THC Hydra est un outil de craquage de mot de passe qui tente de déterminer les informations d’identification de l’utilisateur via une attaque de devinette de mot de passe par force brute., Il est disponible pour Windows, Linux, BSD gratuit, Solaris et OS X.
téléchargez THC Hydra ici.
Si vous êtes développeur, vous pouvez également contribuer au développement de l’outil.
Medusa
Medusa est un outil en ligne de commande, donc un certain niveau de connaissance en ligne de commande est nécessaire pour l’utiliser. La vitesse de craquage des mots de passe dépend de la connectivité réseau. Sur un système local, il peut tester 2 000 mots de passe par minute.
Medusa prend également en charge les attaques parallélisées., En plus d’une liste de mots de passe à essayer, il est également possible de définir une liste de noms d’utilisateur ou d’adresses e-mail à tester lors d’une attaque.
En savoir plus à ce sujet ici.
téléchargez Medusa ici.
RainbowCrack
tout craquage de mot de passe est soumis à un compromis temps-mémoire. Si un attaquant a précalculé une table de paires mot de passe/hachage et les a stockées en tant que « table arc-en-ciel”, le processus de craquage de mot de passe est simplifié en une recherche de table., Cette menace est la raison pour laquelle les mots de passe sont maintenant salés: ajouter une valeur unique et aléatoire à chaque mot de passe avant de le hacher signifie que le nombre de tables rainbow requises est beaucoup plus grand.
RainbowCrack est un outil de craquage de mot de passe conçu pour fonctionner à l’aide de tables rainbow. Il est possible de générer des tables arc-en-ciel personnalisées ou de profiter de celles préexistantes téléchargées sur internet. RainbowCrack propose des téléchargements gratuits de tables rainbow pour les systèmes de mots de passe LANMAN, NTLM, MD5 et SHA1.
téléchargez rainbow tables ici.,
quelques tables arc-en-ciel payantes sont également disponibles, que vous pouvez acheter ici.
Cet outil est disponible pour les systèmes Windows et Linux.
Télécharger RainbowCrack ici.
OphCrack
OphCrack est un outil gratuit de craquage de mot de passe basé sur une table arc-en-ciel Pour Windows. C’est L’outil de craquage de mot de passe Windows Le plus populaire, mais peut également être utilisé sur les systèmes Linux et Mac. Il craque les hachages LM et NTLM. Pour craquer Windows XP, Vista et Windows 7, des tables arc-en-ciel gratuites sont également disponibles.
un live CD D’OphCrack est également disponible pour simplifier le craquage., On peut utiliser le live CD D’OphCrack pour casser les mots de passe basés sur Windows. Cet outil est disponible gratuitement.
téléchargez OphCrack ici.
téléchargez gratuitement et Premium rainbow tables pour OphCrack ici.
L0phtCrack
L0phtCrack est une alternative à OphCrack. Il tente de casser les mots de passe Windows à partir de hachages. Pour déchiffrer les mots de passe, il utilise des postes de travail Windows, des serveurs réseau, des contrôleurs de domaine principaux et Active Directory. Il utilise également des attaques par dictionnaire et par force brute pour générer et deviner des mots de passe. Il a été acquis par Symantec et abandonné en 2006., Plus tard, les développeurs L0pht l’ont de nouveau racheté et ont lancé L0phtCrack en 2009.
L0phtCrack est également livré avec la possibilité d’analyser les analyses de sécurité de mot de passe de routine. On peut définir des audits quotidiens, hebdomadaires ou mensuels, et il commencera à numériser à l’heure prévue.
En savoir plus sur L0phtCrack ici.
Aircrack-ng
Aircrack-ng est un outil de craquage de mots de passe Wi-Fi qui peut casser les mots de passe WEP ou WPA / WPA2 PSK. Il analyse les paquets cryptés sans fil, puis tente de déchiffrer les mots de passe via les attaques de dictionnaire et les PTW, FMS et autres algorithmes de craquage., Il est disponible pour les systèmes Linux et Windows. Un CD live de Aircrack est également disponible.
Les tutoriels Aircrack-ng sont disponibles ici.
téléchargez Aircrack-ng ici.
comment créer un mot de passe difficile à déchiffrer
dans cet article, nous avons répertorié 10 outils de craquage de mots de passe. Ces outils essaient de déchiffrer les mots de passe avec différents algorithmes de craquage de mots de passe. La plupart des outils de craquage de mot de passe sont disponibles gratuitement. Donc, vous devriez toujours essayer d’avoir un mot de passe fort qui est difficile à résoudre. Voici quelques conseils que vous pouvez essayer lors de la création d’un mot de passe.,
- plus le mot de passe est long, plus il est difficile à déchiffrer: la longueur du mot de passe est le facteur le plus important. La complexité d’une attaque de devinette de mot de passe par force brute augmente de façon exponentielle avec la longueur du mot de passe. Un mot de passe aléatoire de sept caractères peut être déchiffré en quelques minutes, tandis qu’un mot de passe de dix caractères prend des centaines d’années.,
- Utilisez toujours une combinaison de caractères, de nombres et de caractères spéciaux: L’utilisation d’une variété de caractères rend également la devinette de mot de passe par force brute plus difficile, car cela signifie que les crackers doivent essayer une plus grande variété d’options pour chaque caractère du mot de passe. Incorporer des chiffres et des caractères spéciaux et pas seulement à la fin du mot de passe ou comme une substitution de lettre (comme @ pour a).,
- de Variété dans les mots de passe: Identification de la farce attaques utilisent des robots pour tester si les mots de passe volés à partir d’un compte en ligne sont également utilisés pour d’autres comptes. Une violation de données dans une petite entreprise pourrait compromettre un compte bancaire si les mêmes informations d’identification sont utilisées. Utilisez un mot de passe long, aléatoire et unique pour tous les comptes en ligne.
ce qu’il faut éviter lors de la sélection de votre mot de passe
Les cybercriminels et les développeurs de Password cracker connaissent toutes les astuces « intelligentes” que les gens utilisent pour créer leurs mots de passe., Voici quelques erreurs de mot de passe courantes à éviter:
- utilisation d’un mot du dictionnaire: les attaques par Dictionnaire sont conçues pour tester chaque mot du dictionnaire (et les permutations courantes) en quelques secondes.
- utilisation des informations personnelles: le nom d’un animal de compagnie, le nom d’un parent, le lieu de naissance, le sport préféré, etc. sont tous des mots du dictionnaire. Même s’ils ne l’étaient pas, des outils existent pour récupérer ces informations sur les médias sociaux et en créer une liste de mots pour une attaque.,
- utilisation de modèles: des mots de passe comme 1111111, 12345678, qwerty et asdfgh sont parmi les plus couramment utilisés. Ils sont également inclus dans la liste de mots de chaque pirate de mot de passe.
- utilisation des substitutions de caractères: les substitutions de caractères comme 4 pour A et $ pour S sont bien connues. Les attaques par dictionnaire testent automatiquement ces substitutions.
- utiliser des nombres et des caractères spéciaux uniquement à la fin: la plupart des gens mettent leurs nombres et caractères spéciaux requis à la fin du mot de passe., Ces modèles sont intégrés dans des crackers de mot de passe.
- utilisation de mots de passe communs: chaque année, des entreprises comme Splashdata publient des listes des mots de passe les plus couramment utilisés. Ils créent ces listes en déchiffrant les mots de passe violés, comme le ferait un attaquant. Ne jamais utiliser les mots de passe sur ces listes ou quelque chose comme eux.
- utiliser autre chose qu’un mot de passe aléatoire: les mots de passe doivent être longs, aléatoires et uniques. Utilisez un gestionnaire de mots de passe pour générer et stocker en toute sécurité des mots de passe pour les comptes en ligne.,
Conclusion
Les outils de craquage de mot de passe sont conçus pour prendre les hachages de mot de passe divulgués lors d’une violation de données ou volés à l’aide d’une attaque et en extraire les mots de passe originaux. Ils accomplissent cela en profitant de l’utilisation de mots de passe faibles ou en essayant chaque mot de passe potentiel d’une longueur donnée.
les trouveurs de mots de passe peuvent être utilisés à diverses fins, pas toutes mauvaises., Bien qu’ils soient couramment utilisés par les cybercriminels, les équipes de sécurité peuvent également les utiliser pour vérifier la solidité des mots de passe de leurs utilisateurs et évaluer le risque de mots de passe faibles pour l’organisation.