Актуальные способы взлома паролей

В этой статье мы рассмотрим актуальные методы взлома паролей, такие как: атака по словарю, взлом методом перебора (брутфорс) и взлом пароля с использованием радужных таблиц. Ну и как бонус, я покажу, как взломать пароль используя один из способов описанный в статье, с помощью мощного инструмента Hydra в Kali Linux.

Пароли защищены двумя способами: хешированием и шифрованием.

Шифрование — это преобразование простого текста в нечитаемую форму (зашифрованный текст). Расшифровать зашифрованный текст с помощью этой техники очень просто.

Хеширование использует уникальные случайные числа для шифрования обычного текста в нечитаемую форму. Злоумышленник может получить хэш пароля пользователя, но не всегда у него получится расшифровать его. Доступно множество методов «де-хеширования» пароля, но они не всегда эффективны.

Актуальные способы взлома паролей

Хакеры и пентестеры используют различные методы взлома пароля, такие как социальная инженерия, анализ сетей, клавиатурные шпионы, брутфорс и т. д. В этой статье рассмотрим атаки по словарю, перебор пароля, гибридные атаки и атаки с использованием радужной таблицы.

Взлом паролей на основе словаря

Атака по словарю — это метод подбора пароля с использованием часто используемых слов. Например, если человек увлекается автомобилями и везде упоминает автомобили в своем аккаунте в социальной сети, то подобрать пароль этого человека не составит труда. Как правило, пользователи придумывает пароли опираясь на два правила:

1. Хобби или близкие люди
2. Легко запоминаемый пароль

В этой атаке хакеры используют специально подобранный список слов, содержащий повседневные слова, которые может использовать жертва. Такой список составляют на этапе сбора информации.

Брутфорс (перебор пароля / грубая сила)

Атака перебором подбирает все возможные популярные комбинации логин / пароль. Пользователи еще не разучились использовать простые распространенные пароли и поэтому этот способ считается довольно эффективным.

Длина и сложность пароля делает взлом более затруднительным. Например, перебор восьмизначного пароля займет намного больше времени, чем пятизначного.

Данный способа взлома паролей, часто используется для взлома сайтов.

Гибридная атака брутфорс

Гибридная атака представляет собой комбинацию брутфорс атаки и словаря на основе увлечений и имен близкий людей пользователя.

Например, пользователи часто добавляют набор цифр в конце своих учетных данных, таких как год окончания или год рождения (например, lena1992 или dima2013). Таким образом, хакеры используют атаку по словарю для генерации фраз, а затем проводят атаку методом перебора последних цифр.

Вместо того чтобы проверять каждый пароль, гибридная атака использует набор учетных данных и создает и пробует незначительные модификации фраз по всему списку, например изменение букв или цифр.

Атаки по радужным таблицам

Атаки с использованием радужных таблиц отличаются тем, что они взламывают не пароли, а хеш-функцию паролей. Радужная таблица — это предварительно вычисленная таблица, которая кэширует результат хеш-алгоритмов, обычно используемых для расшифровки хэшей учетных данных.

Эта атака также рассматривается как взлом пароля в автономном режиме. Поскольку хакеру не нужно взаимодействовать со страницей авторизации пользователя или системой. Как только хакер получает доступ к хешам паролей, переходит в автономный режим и проверяет хеши с помощью предварительно вычисленной хеш-таблицы.

Этот способ часто используется при взломе пароля WiFi-сетей и операционной системы.

Взлом пароля с помощью Hydra в Kali Linux

Для демонстрации взлома пароля я буду использовать инструмент Hydra, который по умолчанию предустановлен в Kali Linux. Для любителей Windows есть простой способ работы с Kali Linux — установить Kali Linux в Windows 10 под WSL.

Запустите Kali Linux —> Откройте терминал —> Запустите команду Nmap с IP-адресом жертвы (можно использовать виртуалку Metasploitable), чтобы проверить открытые порты.

Для атаки вы можете использовать свой собственный словарь или популярный словарь для перебора паролей «rockyou.txt», доступный в Kali Linux. Для демонстрации я использую файл «username.txt» для имен пользователей жертвы и файл «password.txt» для случайных паролей.

Запустите GUI Hydra —> Выберите IP-адрес жертвы (Single Target) —> Выберите целевой порт (в нашем случае это SSH 22) —> Установите флажок подробное описание и отображение попыток (Show Attemps).

 

Перейдите на вкладку Пароли (Passwords) —> Выберите текстовый файл с именами пользователей (Usernam List) и текстовый файл с паролями (Password List).

Перейдите на вкладку Настройка (Tuning) —> Измените количество задач на 4 и начните атаку.

Гидра взломала пароль:

Заключение

Атаки по словарю, грубая сила и атака по радужным таблицам — все это популярные способы взлома пароли.

Инструмент Hydra — один из самых популярных инструментов для взлома паролей. Он в арсенале каждого хакера и пентестера.

Еще по теме: Лучшие программы для взлома со смартфона