10 Strumenti di cracking delle password più popolari [Aggiornato 2020]

Ottobre 9, 2020 admin 0 Comments

Le password sono il metodo più comunemente usato per l’autenticazione dell’utente. Le password sono così popolari perché la logica dietro di loro ha senso per le persone e sono relativamente facili da implementare per gli sviluppatori.

Tuttavia, le password possono anche introdurre vulnerabilità di sicurezza. Password cracker sono progettati per prendere i dati delle credenziali rubati in una violazione dei dati o altro hack ed estrarre le password da esso.

Che cos’è il cracking delle password?,

Un sistema di autenticazione basato su password ben progettato non memorizza la password effettiva di un utente. Ciò renderebbe troppo facile per un hacker o un insider dannoso accedere a tutti gli account utente sul sistema.

Invece, i sistemi di autenticazione memorizzano un hash della password, che è il risultato dell’invio della password — e un valore casuale chiamato salt — attraverso una funzione hash. Le funzioni Hash sono progettate per essere unidirezionali, il che significa che è molto difficile determinare l’input che produce un dato output., Poiché le funzioni hash sono anche deterministiche (il che significa che lo stesso input produce lo stesso output), confrontare due hash delle password (quello memorizzato e l’hash della password fornita da un utente) è quasi buono come confrontare le password reali.

Il cracking della password si riferisce al processo di estrazione delle password dall’hash della password associato. Questo può essere realizzato in diversi modi:

  • Attacco al dizionario: la maggior parte delle persone usa password deboli e comuni., Prendendo un elenco di parole e aggiungendo alcune permutazioni — come sostituire $ per s — consente a un cracker di password di imparare molte password molto rapidamente.
  • Brute-force guessing attack: ci sono solo così tante potenziali password di una data lunghezza. Mentre lento, un attacco a forza bruta (cercando tutte le possibili combinazioni di password) garantisce che un utente malintenzionato si crepa la password alla fine.
  • Attacco ibrido: un attacco ibrido mescola queste due tecniche., Inizia controllando se una password può essere decifrata usando un attacco dizionario, quindi passa a un attacco a forza bruta se non ha successo.

La maggior parte degli strumenti di ricerca password o password cracking consentono a un hacker di eseguire uno di questi tipi di attacchi. Questo post descrive alcuni degli strumenti di cracking delle password più comunemente usati.

Hashcat

Hashcat è uno dei cracker di password più popolari e ampiamente utilizzati esistenti. E ‘ disponibile su ogni sistema operativo e supporta oltre 300 diversi tipi di hash.,

Hashcat consente il cracking di password altamente parallelizzato con la possibilità di crackare più password diverse su più dispositivi diversi allo stesso tempo e la possibilità di supportare un sistema di hash cracking distribuito tramite sovrapposizioni. Il cracking è ottimizzato con la regolazione integrata delle prestazioni e il monitoraggio della temperatura.

Scarica Hashcat qui.

John the Ripper

John the Ripper è un noto strumento di cracking password open source gratuito per Linux, Unix e Mac OS X. È disponibile anche una versione di Windows.,

John the Ripper offre il cracking delle password per una varietà di tipi di password diversi. Va oltre le password del sistema operativo per includere applicazioni Web comuni (come WordPress), archivi compressi, file di documenti (file di Microsoft Office, PDF e così via) e altro ancora.

È disponibile anche una versione pro dello strumento, che offre funzionalità migliori e pacchetti nativi per i sistemi operativi di destinazione. È anche possibile scaricare Openwall GNU / * / Linux che viene fornito con John lo Squartatore.

Scarica John lo Squartatore qui.

Brutus

Brutus è uno degli strumenti di cracking delle password online più popolari., Sostiene di essere lo strumento di cracking delle password più veloce e flessibile. Questo strumento è gratuito ed è disponibile solo per i sistemi Windows. È stato rilasciato nell’ottobre 2000.,authentication types, including:

  • HTTP (basic authentication)
  • HTTP (HTML Form/CGI)
  • POP3
  • FTP
  • SMB
  • Telnet
  • IMAP
  • NNTP
  • NetBus
  • Custom protocols

It is also capable of supporting multi-stage authentication protocols and can attack up to sixty different targets in parallel., Offre anche la possibilità di mettere in pausa, riprendere e importare un attacco.

Brutus non è stato aggiornato per diversi anni. Tuttavia, il suo supporto per un’ampia varietà di protocolli di autenticazione e la possibilità di aggiungere moduli personalizzati lo rendono uno strumento popolare per gli attacchi di cracking delle password online.

Ottieni il cercatore di password Brutus online qui.

Wfuzz

Wfuzz è un’applicazione web password-cracking strumento come Brutus che cerca di rompere le password tramite un attacco di indovinare forza bruta. Può anche essere usato per trovare risorse nascoste come directory, servlet e script., Wfuzz può anche identificare le vulnerabilità di iniezione all’interno di un’applicazione come SQL injection, XSS injection e LDAP injection.,8758f”>Uscita in colore HTML

  • Post, le intestazioni e i dati di autenticazione di tipo ” brute costringendo

  • Proxy e i calzini con supporto, più supporto proxy
  • Multi-threading
  • HTTP password di forza bruta via GET o POST di richieste
  • Tempo di ritardo tra le richieste
  • Cookie fuzzing

    • THC Hydra

    THC Hydra è una linea di password cracking strumento che tenta di determinare le credenziali dell’utente tramite brute-force di indovinare la password di attacco., È disponibile per Windows, Linux, BSD gratuito, Solaris e OS X.

    Scarica THC Hydra qui.

    Se sei uno sviluppatore, puoi anche contribuire allo sviluppo dello strumento.

    Medusa

    Medusa è uno strumento da riga di comando, quindi è necessario un certo livello di conoscenza da riga di comando per usarlo. La velocità di cracking delle password dipende dalla connettività di rete. Su un sistema locale, può testare 2.000 password al minuto.

    Medusa supporta anche attacchi parallelizzati., Oltre a un elenco di password da provare, è anche possibile definire un elenco di nomi utente o indirizzi e-mail da testare durante un attacco.

    Leggi di più su questo qui.

    Scarica Medusa qui.

    RainbowCrack

    Tutte le password-cracking è soggetto a un compromesso tempo-memoria. Se un utente malintenzionato ha precalcolato una tabella di coppie password / hash e le ha memorizzate come “tabella arcobaleno”, il processo di cracking della password viene semplificato in una ricerca di tabella., Questa minaccia è il motivo per cui le password sono ora salate: aggiungere un valore univoco e casuale a ogni password prima di eseguire l’hash significa che il numero di tabelle arcobaleno richieste è molto più grande.

    RainbowCrack è uno strumento di cracking password progettato per funzionare utilizzando tabelle arcobaleno. È possibile generare tabelle arcobaleno personalizzate o sfruttare quelle preesistenti scaricate da Internet. RainbowCrack offre download gratuiti di tabelle arcobaleno per i sistemi di password LANMAN, NTLM, MD5 e SHA1.

    Scarica rainbow tables qui.,

    Sono disponibili anche alcune tabelle arcobaleno a pagamento, che puoi acquistare da qui.

    Questo strumento è disponibile per sistemi Windows e Linux.

    Scarica RainbowCrack qui.

    OphCrack

    OphCrack è uno strumento di cracking password basato su tabella arcobaleno gratuito per Windows. E ‘ il più popolare strumento di cracking password di Windows, ma può essere utilizzato anche su sistemi Linux e Mac. Incrina gli hash LM e NTLM. Per il cracking di Windows XP, Vista e Windows 7, sono disponibili anche tavoli arcobaleno gratuiti.

    È disponibile anche un live CD di OphCrack per semplificare il cracking., Si può usare il Live CD di OphCrack per rompere le password basate su Windows. Questo strumento è disponibile gratuitamente.

    Scarica OphCrack qui.

    Scarica tavoli arcobaleno gratuiti e premium per OphCrack qui.

    L0phtCrack

    L0phtCrack è un’alternativa a OphCrack. Tenta di decifrare le password di Windows dagli hash. Per cracking password, utilizza workstation Windows, server di rete, controller di dominio primario e Active Directory. Utilizza anche dizionario e attacchi di forza bruta per generare e indovinare le password. È stata acquisita da Symantec e interrotta nel 2006., Successivamente, gli sviluppatori di L0pht lo hanno nuovamente riacquistato e lanciato L0phtCrack nel 2009.

    L0phtCrack offre anche la possibilità di eseguire scansioni di sicurezza delle password di routine. È possibile impostare audit giornalieri, settimanali o mensili e verrà avviata la scansione all’ora pianificata.

    Scopri L0phtCrack qui.

    Aircrack-ng

    Aircrack-ng è uno strumento Wi-Fi password-cracking che può rompere WEP o WPA/WPA2 PSK password. Analizza i pacchetti crittografati wireless e poi cerca di decifrare le password tramite gli attacchi dizionario e il PTW, FMS e altri algoritmi di cracking., È disponibile per sistemi Linux e Windows. È disponibile anche un live CD di Aircrack.

    Aircrack-ng tutorial sono disponibili qui.

    Scarica Aircrack-ng qui.

    Come creare una password difficile da decifrare

    In questo post, abbiamo elencato 10 strumenti di cracking delle password. Questi strumenti cercano di decifrare le password con diversi algoritmi di cracking delle password. La maggior parte degli strumenti di cracking password sono disponibili gratuitamente. Quindi, si dovrebbe sempre cercare di avere una password complessa che è difficile da decifrare. Questi sono alcuni suggerimenti che puoi provare durante la creazione di una password.,

    • Più lunga è la password, più è difficile da decifrare: la lunghezza della password è il fattore più importante. La complessità di un attacco di indovinare la password di forza bruta cresce esponenzialmente con la lunghezza della password. Una password casuale di sette caratteri può essere incrinata in pochi minuti, mentre una di dieci caratteri richiede centinaia di anni.,
    • Usa sempre una combinazione di caratteri, numeri e caratteri speciali: l’uso di una varietà di caratteri rende anche più difficile indovinare la password a forza bruta, poiché significa che i cracker devono provare una più ampia varietà di opzioni per ogni carattere della password. Incorporare numeri e caratteri speciali e non solo alla fine della password o come sostituzione di lettere (come @ per a).,
    • Varietà di password: gli attacchi di Credential stuffing utilizzano i bot per verificare se le password rubate da un account online vengono utilizzate anche per altri account. Una violazione dei dati in una piccola azienda potrebbe compromettere un conto bancario se vengono utilizzate le stesse credenziali. Usa una password lunga, casuale e univoca per tutti gli account online.

    Cosa evitare durante la selezione della password

    I criminali informatici e gli sviluppatori di password cracker conoscono tutti i trucchi “intelligenti” che le persone usano per creare le loro password., Alcuni errori comuni di password che dovrebbero essere evitati includono:

    1. Usando una parola del dizionario: gli attacchi del dizionario sono progettati per testare ogni parola nel dizionario (e le permutazioni comuni) in pochi secondi.
    2. Utilizzo delle informazioni personali: il nome di un animale domestico, il nome del parente, il luogo di nascita, lo sport preferito e così via sono tutte parole del dizionario. Anche se non lo fossero, esistono strumenti per afferrare queste informazioni dai social media e creare un elenco di parole da esso per un attacco.,
    3. Utilizzo dei pattern: password come 1111111, 12345678, qwerty e asdfgh sono tra quelle più comunemente utilizzate. Sono anche inclusi nella lista di parole di ogni password cracker.
    4. Utilizzo di sostituzioni di caratteri: le sostituzioni di caratteri come 4 per A e S per S sono ben note. Gli attacchi del dizionario testano automaticamente queste sostituzioni.
    5. Utilizzo di numeri e caratteri speciali solo alla fine: la maggior parte delle persone mette i numeri e i caratteri speciali richiesti alla fine della password., Questi modelli sono integrati in cracker di password.
    6. Utilizzo di password comuni: Ogni anno, aziende come Splashdata pubblicano elenchi delle password più comunemente utilizzate. Creano queste liste di cracking password violate, proprio come farebbe un utente malintenzionato. Non usare mai le password su questi elenchi o qualcosa di simile.
    7. Usare qualsiasi cosa tranne una password casuale: le password dovrebbero essere lunghe, casuali e uniche. Utilizzare un gestore di password per generare e memorizzare in modo sicuro le password per gli account online.,

    Conclusione

    Gli strumenti di cracking delle password sono progettati per prendere gli hash delle password trapelati durante una violazione dei dati o rubati utilizzando un attacco ed estrarre le password originali da loro. Lo fanno sfruttando l’uso di password deboli o provando ogni potenziale password di una data lunghezza.

    I cercatori di password possono essere utilizzati per una varietà di scopi diversi, non tutti cattivi., Mentre sono comunemente utilizzati dai criminali informatici, i team di sicurezza possono anche utilizzarli per verificare la solidità delle password dei propri utenti e valutare il rischio di password deboli per l’organizzazione.

    Lascia un commento

    Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *