Comment déchiffrer un mot de passe

Table des matières:

Anonim

Qu'est-ce que le piratage des mots de passe?

Le craquage de mot de passe consiste à tenter d'obtenir un accès non autorisé à des systèmes restreints en utilisant des mots de passe courants ou des algorithmes qui devinent les mots de passe. En d'autres termes, c'est un art d'obtenir le mot de passe correct qui donne accès à un système protégé par une méthode d'authentification.

Le craquage de mots de passe utilise un certain nombre de techniques pour atteindre ses objectifs. Le processus de craquage peut impliquer soit de comparer les mots de passe stockés à une liste de mots, soit d'utiliser des algorithmes pour générer des mots de passe qui correspondent

Dans ce didacticiel, nous vous présenterons les techniques courantes de craquage de mots de passe et les contre-mesures que vous pouvez mettre en œuvre pour protéger les systèmes contre de telles attaques.

Sujets abordés dans ce didacticiel

  • Qu'est-ce que la force du mot de passe?
  • Techniques de piratage des mots de passe
  • Outils de piratage de mot de passe
  • Contre-mesures de piratage des mots de passe
  • Attribution de piratage: piratez maintenant!

Qu'est-ce que la force du mot de passe?

La force du mot de passe est la mesure de l'efficacité d'un mot de passe pour résister aux attaques de piratage de mot de passe . La force d'un mot de passe est déterminée par;

  • Longueur : le nombre de caractères que contient le mot de passe.
  • Complexité : utilise-t-il une combinaison de lettres, de chiffres et de symboles?
  • L'imprévisibilité : est-ce quelque chose qui peut être facilement deviné par un attaquant?

Regardons maintenant un exemple pratique. Nous utiliserons trois mots de passe à savoir

1. mot de passe

2. mot de passe1

3. # motdepasse1 $

Pour cet exemple, nous utiliserons l'indicateur de force du mot de passe de Cpanel lors de la création de mots de passe. Les images ci-dessous montrent la force des mots de passe de chacun des mots de passe énumérés ci-dessus.

Remarque : le mot de passe utilisé est le mot de passe, la force est de 1 et il est très faible.

Remarque : le mot de passe utilisé est password1, la force est de 28 et il est toujours faible.

Remarque : Le mot de passe utilisé est # password1 $, la force est de 60 et il est fort.

Plus le nombre de force est élevé, meilleur est le mot de passe.

Supposons que nous devions stocker nos mots de passe ci-dessus en utilisant le cryptage md5. Nous utiliserons un générateur de hachage md5 en ligne pour convertir nos mots de passe en hachages md5.

Le tableau ci-dessous montre les hachages de mot de passe

Mot de passe Hash MD5 Indicateur de force du panneau
le mot de passe 5f4dcc3b5aa765d61d8327deb882cf99 1
mot de passe1 7c6a180b36896a0a8c02787eeafb0e4c 28
# mot de passe1 $ 29e08fb7103c327d68327f23d8d9256c 60

Nous allons maintenant utiliser http://www.md5this.com/ pour casser les hachages ci-dessus. Les images ci-dessous montrent les résultats du craquage de mot de passe pour les mots de passe ci-dessus.

Comme vous pouvez le voir à partir des résultats ci-dessus, nous avons réussi à déchiffrer les premier et deuxième mots de passe qui avaient des nombres de force inférieurs. Nous n'avons pas réussi à déchiffrer le troisième mot de passe qui était plus long, complexe et imprévisible. Il avait un numéro de force plus élevé.

Techniques de piratage des mots de passe

Il existe un certain nombre de techniques qui peuvent être utilisées pour déchiffrer les mots de passe . Nous décrirons ci-dessous les plus couramment utilisés;

  • Attaque par dictionnaire - Cette méthode implique l'utilisation d'une liste de mots pour comparer les mots de passe des utilisateurs.
  • Attaque par force brute - Cette méthode est similaire à l'attaque par dictionnaire. Les attaques par force brute utilisent des algorithmes qui combinent des caractères alphanumériques et des symboles pour créer des mots de passe pour l'attaque. Par exemple, un mot de passe de valeur «mot de passe» peut également être essayé en tant que mot p @ $$ en utilisant l'attaque par force brute.
  • Attaque de table arc-en-ciel - Cette méthode utilise des hachages précalculés. Supposons que nous ayons une base de données qui stocke les mots de passe sous forme de hachages md5. Nous pouvons créer une autre base de données contenant des hachages md5 des mots de passe couramment utilisés. Nous pouvons ensuite comparer le hachage de mot de passe que nous avons avec les hachages stockés dans la base de données. Si une correspondance est trouvée, nous avons le mot de passe.
  • Devinez - Comme son nom l'indique, cette méthode consiste à deviner. Les mots de passe tels que qwerty, password, admin, etc. sont couramment utilisés ou définis comme mots de passe par défaut. S'ils n'ont pas été modifiés ou si l'utilisateur est imprudent lors de la sélection des mots de passe, ils peuvent être facilement compromis.
  • Spidering - La plupart des organisations utilisent des mots de passe contenant des informations sur l'entreprise. Ces informations peuvent être trouvées sur les sites Web des entreprises, les médias sociaux tels que Facebook, Twitter, etc. Spidering recueille des informations à partir de ces sources pour créer des listes de mots. La liste de mots est ensuite utilisée pour effectuer des attaques par dictionnaire et par force brute.

Exemple de liste de mots d'attaque de dictionnaire d'araignée 

1976 smith jones acme built|to|last golfing|chess|soccer  

Outil de craquage de mot de passe


Ce sont des logiciels utilisés pour déchiffrer les mots de passe des utilisateurs . Nous avons déjà examiné un outil similaire dans l'exemple ci-dessus sur la force des mots de passe. Le site www.md5this.com utilise une table arc-en-ciel pour déchiffrer les mots de passe. Nous allons maintenant examiner certains des outils couramment utilisés


John l'Éventreur


John the Ripper utilise l'invite de commande pour déchiffrer les mots de passe. Cela le rend adapté aux utilisateurs avancés qui sont à l'aise avec les commandes. Il utilise une liste de mots pour déchiffrer les mots de passe. Le programme est gratuit, mais la liste de mots doit être achetée. Il propose des listes de mots alternatives gratuites que vous pouvez utiliser. Visitez le site Web du produit https://www.openwall.com/john/ pour plus d'informations et comment l'utiliser.


Caïn et Abel


Cain & Abel fonctionne sous Windows. Il est utilisé pour récupérer les mots de passe des comptes utilisateurs, la récupération des mots de passe Microsoft Access; reniflement de réseau, etc. Contrairement à John the Ripper, Cain & Abel utilise une interface utilisateur graphique. Il est très courant chez les débutants et les script kiddies en raison de sa simplicité d'utilisation. Visitez le site Web du produit https://www.softpedia.com/get/Security/Decrypting-Decoding/Cain-and-Abel.shtml pour plus d'informations et comment l'utiliser.





Ophcrack


Ophcrack est un cracker de mot de passe Windows multiplateforme qui utilise des tables arc-en-ciel pour cracker les mots de passe. Il fonctionne sous Windows, Linux et Mac OS. Il dispose également d'un module pour les attaques par force brute, entre autres fonctionnalités. Visitez le site Web du produit https://ophcrack.sourceforge.io/ pour plus d'informations et comment l'utiliser.



Contre-mesures de piratage des mots de passe


    

  • Une organisation peut utiliser les méthodes suivantes pour réduire les chances que les mots de passe aient été piratés
    • 

  • Évitez les mots de passe courts et facilement prévisibles
    • 

  • Évitez d'utiliser des mots de passe avec des modèles prévisibles tels que 11552266.
    • 

  • Les mots de passe stockés dans la base de données doivent toujours être chiffrés. Pour les cryptages md5, il est préférable de saler les hachages de mots de passe avant de les stocker. Le salage consiste à ajouter un mot au mot de passe fourni avant de créer le hachage.
    • 

  • La plupart des systèmes d'enregistrement ont des indicateurs de force de mot de passe, les organisations doivent adopter des politiques qui favorisent des nombres de force de mot de passe élevés.
    • 




Activité de piratage: piratez maintenant!


Dans ce scénario pratique, nous allons pirater le compte Windows avec un simple mot de passe . Windows utilise les hachages NTLM pour crypter les mots de passe . Nous utiliserons l'outil de cracker NTLM dans Cain et Abel pour ce faire.


Cain et Abel cracker peuvent être utilisés pour déchiffrer les mots de passe en utilisant;


    

  • Attaque de dictionnaire
    • 

  • Force brute
    • 

  • Cryptanalyse
    • 



Nous utiliserons l'attaque par dictionnaire dans cet exemple. Vous devrez télécharger la liste de mots d'attaque du dictionnaire ici 10k-Most-Common.zip


Pour cette démonstration, nous avons créé un compte appelé Comptes avec le mot de passe qwerty sous Windows 7.



Étapes de craquage de mot de passe


    

  • Ouvrez Cain et Abel , vous obtiendrez l'écran principal suivant
    • 



    

  • Assurez-vous que l'onglet cracker est sélectionné comme indiqué ci-dessus
    • 

  • Cliquez sur le bouton Ajouter dans la barre d'outils.
    • 



    

  • La fenêtre de dialogue suivante apparaîtra
    • 



    

  • Les comptes d'utilisateurs locaux seront affichés comme suit. Notez que les résultats affichés seront ceux des comptes d'utilisateurs sur votre ordinateur local.
    • 



    

  • Faites un clic droit sur le compte que vous souhaitez craquer. Pour ce didacticiel, nous utiliserons les comptes comme compte d'utilisateur.
    • 



    

  • L'écran suivant va apparaitre
    • 



    

  • Cliquez avec le bouton droit sur la section du dictionnaire et sélectionnez le menu Ajouter à la liste comme indiqué ci-dessus
    • 

  • Accédez au fichier 10k le plus commun.txt que vous venez de télécharger
    • 



    

  • Cliquez sur le bouton de démarrage
    • 

  • Si l'utilisateur a utilisé un mot de passe simple comme qwerty, vous devriez pouvoir obtenir les résultats suivants.
    • 



    

  • Remarque : le temps nécessaire pour déchiffrer le mot de passe dépend de la force du mot de passe, de la complexité et de la puissance de traitement de votre machine.
    • 

  • Si le mot de passe n'est pas piraté à l'aide d'une attaque par dictionnaire, vous pouvez essayer des attaques par force brute ou par cryptanalyse.
    • 




Résumé


    

  • Le craquage de mot de passe est l'art de récupérer les mots de passe stockés ou transmis.
    • 

  • La force du mot de passe est déterminée par la longueur, la complexité et l'imprévisibilité d'une valeur de mot de passe.
    • 

  • Les techniques de mot de passe courantes incluent les attaques par dictionnaire, la force brute, les tables arc-en-ciel, le spidering et le cracking.
    • 

  • Les outils de craquage des mots de passe simplifient le processus de craquage des mots de passe.
    •