10 najpopularniejsze narzędzia do łamania haseł [aktualizacja 2020]
hasła są najczęściej używaną metodą uwierzytelniania użytkowników. Hasła są tak popularne, ponieważ logika za nimi ma sens dla ludzi i są stosunkowo łatwe do wdrożenia dla programistów.
jednak hasła mogą również wprowadzać luki w zabezpieczeniach. Łamacze haseł są zaprojektowane do pobierania danych uwierzytelniających skradzionych w wyniku naruszenia danych lub innego włamania i wyodrębniania z nich haseł.
co to jest łamanie haseł?,
dobrze zaprojektowany system uwierzytelniania oparty na hasłach nie przechowuje rzeczywistego hasła użytkownika. Byłoby to zbyt łatwe dla hakera lub złośliwego informatora, aby uzyskać dostęp do wszystkich kont użytkowników w systemie.
zamiast tego, systemy uwierzytelniania przechowują hash hasła, który jest wynikiem wysłania hasła — i losowej wartości zwanej salt — za pośrednictwem funkcji skrótu. Funkcje Hash są zaprojektowane tak, aby były jednokierunkowe, co oznacza, że bardzo trudno jest określić wejście, które wytwarza dane wyjście., Ponieważ funkcje hash są również deterministyczne (co oznacza, że to samo wejście wytwarza to samo wyjście), porównanie dwóch skrótów haseł (przechowywanego i hash hasła dostarczonego przez użytkownika) jest prawie tak dobre, jak porównanie prawdziwych haseł.
łamanie haseł odnosi się do procesu wyodrębniania haseł z powiązanego hasha hasła. Można to osiągnąć na kilka różnych sposobów:
- atak słownikowy: większość ludzi używa słabych i popularnych haseł., Biorąc listę słów i dodając kilka permutacji — na przykład zastępując $ za s-umożliwia łamaczowi haseł nauczenie się wielu haseł bardzo szybko.
- atak zgadywania Brute-force: istnieje tylko tyle potencjalnych haseł o danej długości. Atak brute-force (wypróbowanie wszystkich możliwych kombinacji haseł) gwarantuje, że atakujący złamie hasło w końcu.
- atak Hybrydowy: atak Hybrydowy łączy te dwie techniki., Zaczyna się od sprawdzenia, czy hasło można złamać za pomocą ataku słownikowego, a następnie przechodzi do ataku brute-force, jeśli się nie powiedzie.
większość narzędzi do łamania haseł lub wyszukiwania haseł umożliwia hakerowi wykonywanie każdego z tych rodzajów ataków. Ten post opisuje niektóre z najczęściej używanych narzędzi do łamania haseł.
Hashcat
Hashcat jest jednym z najpopularniejszych i najczęściej używanych haseł. Jest dostępny na każdym systemie operacyjnym i obsługuje ponad 300 różnych typów skrótów.,
Hashcat umożliwia bardzo równoległe łamanie haseł z możliwością łamania wielu różnych haseł na wielu różnych urządzeniach jednocześnie i możliwością obsługi rozproszonego systemu łamania hashów za pomocą nakładek. Pękanie jest zoptymalizowane dzięki zintegrowanemu dostrajaniu wydajności i monitorowaniu temperatury.
Pobierz Hashcat tutaj.
John the Ripper
John the Ripper jest znanym darmowym narzędziem do łamania haseł typu open source dla Systemów Linux, Unix i Mac OS X. dostępna jest również wersja dla systemu Windows.,
John the Ripper oferuje łamanie haseł dla różnych typów haseł. Wykracza poza hasła systemu operacyjnego, obejmując popularne aplikacje internetowe (takie jak WordPress), skompresowane archiwa, pliki dokumentów (pliki Microsoft Office, pliki PDF itp.) i inne.
dostępna jest również wersja pro narzędzia, która oferuje lepsze funkcje i natywne pakiety dla docelowych systemów operacyjnych. Możesz również pobrać OPENWALL GNU / * / Linux, który jest dostarczany wraz z Johnem Rozpruwaczem.
Pobierz John the Ripper tutaj.
Brutus
Brutus jest jednym z najpopularniejszych narzędzi do łamania haseł online., Twierdzi, że jest najszybszym i najbardziej elastycznym narzędziem do łamania haseł. To narzędzie jest bezpłatne i jest dostępne tylko dla Systemów Windows. Został wydany w październiku 2000 roku.,authentication types, including:
- HTTP (basic authentication)
- HTTP (HTML Form/CGI)
- POP3
- FTP
- SMB
- Telnet
- IMAP
- NNTP
- NetBus
- Custom protocols
It is also capable of supporting multi-stage authentication protocols and can attack up to sixty different targets in parallel., Oferuje również możliwość wstrzymania, wznowienia i zaimportowania ataku.
Brutus nie był aktualizowany od kilku lat. Jednak obsługa szerokiej gamy protokołów uwierzytelniania i możliwość dodawania niestandardowych modułów sprawiają, że jest to popularne narzędzie do ataków łamania haseł online.
Pobierz Wyszukiwarkę haseł Brutus online tutaj.
Wfuzz
Wfuzz to narzędzie do łamania haseł, takie jak Brutus, które próbuje złamać hasła za pomocą ataku zgadywania brute-force. Może być również używany do znajdowania ukrytych zasobów, takich jak katalogi, serwlety i skrypty., Wfuzz może również identyfikować luki w zabezpieczeniach w aplikacjach, takich jak SQL injection, XSS injection i LDAP injection.,8758f”>wyjście w kolorowym HTML
THC Hydra
THC Hydra jest hasłem online-narzędzie do łamania, które próbuje określić dane uwierzytelniające użytkownika za pomocą ataku odgadywania hasła Brute-Force., Jest on dostępny dla Systemów Windows, Linux, Free BSD, Solaris i OS X.
Pobierz THC Hydra tutaj.
Jeśli jesteś programistą, możesz również przyczynić się do rozwoju narzędzia.
Medusa
Medusa jest narzędziem wiersza poleceń, więc aby z niego korzystać, potrzebny jest pewien poziom wiedzy wiersza poleceń. Szybkość łamania haseł zależy od łączności sieciowej. W systemie lokalnym może testować 2000 haseł na minutę.
Medusa obsługuje również ataki równoległe., Oprócz listy haseł do wypróbowania, możliwe jest również zdefiniowanie listy nazw użytkowników lub adresów e-mail do przetestowania podczas ataku.
Czytaj więcej na ten temat tutaj.
Pobierz Medusę tutaj.
RainbowCrack
wszystkie łamanie haseł podlega wymianie na pamięć czasu. Jeśli atakujący wstępnie obliczył tabelę par hasło/hash i zapisał ją jako „tęczową tabelę”, proces łamania haseł jest uproszczony do wyszukiwania tabeli., Z tego powodu hasła są teraz solone: dodanie unikalnej, losowej wartości do każdego hasła przed hashowaniem oznacza, że liczba wymaganych tabel tęczowych jest znacznie większa.
RainbowCrack to narzędzie do łamania haseł przeznaczone do pracy przy użyciu tabel tęczowych. Możliwe jest wygenerowanie niestandardowych tabel tęczowych lub skorzystanie z istniejących już tabel pobranych z Internetu. RainbowCrack oferuje bezpłatne pobieranie tabel rainbowcrack dla Systemów haseł LANMAN, NTLM, MD5 i SHA1.
Pobierz tęczowe tabele tutaj.,
dostępnych jest również kilka płatnych stolików rainbow, które można kupić tutaj.
To narzędzie jest dostępne zarówno dla Systemów Windows, jak i Linux.
Pobierz RainbowCrack tutaj.
OphCrack
OphCrack to darmowe narzędzie do łamania haseł w systemie Windows. Jest to najbardziej popularne narzędzie do łamania haseł systemu Windows, ale może być również używany w systemach Linux i Mac. Łamie skróty LM i NTLM. Dla Windows XP, Vista i Windows 7 dostępne są również bezpłatne tabele rainbow.
dostępna jest również płyta live CD Ophcracka, która upraszcza crackowanie., Można użyć Live CD z OphCrack złamać hasła oparte na systemie Windows. To narzędzie jest dostępne za darmo.
Pobierz OphCrack tutaj.
pobierz darmowe i premium rainbow tables dla OphCrack tutaj.
L0phtCrack
L0phtCrack jest alternatywą dla Ophcracka. Próbuje złamać hasła systemu Windows z hashów. Do łamania haseł wykorzystuje stacje robocze Windows, serwery sieciowe, kontrolery domeny głównej i Active Directory. Używa również ataków słownikowych i brute-force do generowania i zgadywania haseł. Został przejęty przez firmę Symantec i wycofany ze sprzedaży w 2006 roku., Później programiści L0pht ponownie go pozyskali i uruchomili L0phtCrack w 2009 roku.
L0phtCrack jest również wyposażony w możliwość skanowania rutynowych skanów zabezpieczeń haseł. Można ustawić audyty dzienne, tygodniowe lub miesięczne, a skanowanie rozpocznie się o zaplanowanym czasie.
Dowiedz się więcej o L0phtCrack tutaj.
Aircrack-ng
Aircrack-ng to narzędzie do łamania haseł Wi-Fi, które może złamać hasła WEP lub WPA / WPA2 PSK. Analizuje bezprzewodowe szyfrowane Pakiety, a następnie próbuje złamać hasła za pomocą ataków słownikowych i PTW, FMS i innych algorytmów łamania., Jest dostępny dla Systemów Linux i Windows. Dostępna jest również płyta live CD Aircrack.
tutoriale Aircrack-ng dostępne są tutaj.
Pobierz Aircrack-ng tutaj.
jak utworzyć hasło, które jest trudne do złamania
w tym poście wymieniliśmy 10 narzędzi do łamania haseł. Narzędzia te próbują łamać hasła za pomocą różnych algorytmów łamania haseł. Większość narzędzi do łamania haseł jest dostępna za darmo. Dlatego zawsze powinieneś starać się mieć silne hasło, które jest trudne do złamania. Oto kilka wskazówek, które możesz wypróbować podczas tworzenia hasła.,
- im dłuższe hasło, tym trudniej je złamać: długość hasła jest najważniejszym czynnikiem. Złożoność ataku odgadywania hasła brute force rośnie wykładniczo wraz z długością hasła. Losowe siedmioznakowe hasło można złamać w ciągu kilku minut, a dziesięcioznakowe trwa setki lat.,
- Zawsze używaj kombinacji znaków, cyfr i znaków specjalnych: używanie różnych znaków utrudnia również odgadywanie haseł brute-force, ponieważ oznacza to, że krakersi muszą wypróbować szerszą gamę opcji dla każdego znaku hasła. Dodawaj cyfry i znaki specjalne, a nie tylko na końcu hasła lub jako substytucję liter (jak @ dla a).,
- różnorodność haseł: ataki wypychania poświadczeń używają botów do sprawdzania, czy hasła skradzione z jednego konta internetowego są używane również dla innych kont. Naruszenie danych w małej firmie może naruszyć konto bankowe, jeśli używane są te same dane uwierzytelniające. Użyj długiego, losowego i unikalnego hasła dla wszystkich kont online.
czego unikać wybierając hasło
cyberprzestępcy i Programiści łamania haseł znają wszystkie „sprytne” sztuczki, których ludzie używają do tworzenia swoich haseł., Kilka typowych błędów haseł, których należy unikać, to:
- używanie słowa słownikowego: ataki słownikowe mają na celu przetestowanie każdego słowa w Słowniku (i powszechnych permutacji) w ciągu kilku sekund.
- Korzystanie z danych osobowych: imię zwierzęcia, nazwisko krewnego, miejsce urodzenia, ulubiony sport i tak dalej są słownikowe słowa. Nawet jeśli nie, istnieją narzędzia do pobierania tych informacji z mediów społecznościowych i budowania z nich listy słów do ataku.,
- używanie szablonów: hasła takie jak 1111111, 12345678, qwerty i asdfgh są jednymi z najczęściej używanych. Są również zawarte w każdej liście słów łamacza haseł.
- używanie podstawień znaków: podstawienia znaków, takie jak 4 dla A i $ dla S, są dobrze znane. Słownik atakuje test dla tych podstawień automatycznie.
- używanie cyfr i znaków specjalnych tylko na końcu: większość osób umieszcza wymagane cyfry i znaki specjalne na końcu hasła., Te wzorce są wbudowane w łamacze haseł.
- używanie popularnych haseł: co roku firmy takie jak Splashdata publikują listy najczęściej używanych haseł. Tworzą te listy przez łamanie naruszonych haseł, tak jak zrobiłby to napastnik. Nigdy nie używaj haseł z tych list ani niczego podobnego.
- używanie czegokolwiek poza przypadkowym hasłem: hasła powinny być długie, losowe i unikalne. Użyj Menedżera haseł, aby bezpiecznie generować i przechowywać hasła do kont online.,
wnioski
narzędzia do łamania haseł mają na celu pobranie hashów haseł wyciekłych podczas naruszenia danych lub skradzionych za pomocą ataku i wyodrębnienie z nich oryginalnych haseł. Osiągają to poprzez wykorzystanie słabych haseł lub wypróbowanie każdego potencjalnego hasła o danej długości.
Wyszukiwarki haseł mogą być używane do wielu różnych celów, nie wszystkie z nich są złe., Chociaż są one powszechnie używane przez cyberprzestępców, zespoły ds. bezpieczeństwa mogą ich również używać do kontroli siły haseł swoich użytkowników i oceny ryzyka wystąpienia słabych haseł do organizacji.