Inhaltsverzeichnis:
Video: Ethical Hacking Full Course - Learn Ethical Hacking in 10 Hours | Ethical Hacking Tutorial | Edureka 2025
High-Tech-Passwort-Cracking ist eine Art von Hacking, bei dem Programme verwendet Passwort durch Ermitteln aller möglichen Passwortkombinationen. Die wichtigsten Methoden zum Knacken von Passwörtern sind Wörterbuchangriffe, Brute-Force-Angriffe und Regenbogenangriffe.
Dictionary-Angriffe
Bei Wörterbuchangriffen wird ein Satz von bekannten Wörterbüchern - einschließlich vieler gängiger Kennwörter - schnell mit einer Kennwortdatenbank verglichen. Diese Datenbank ist eine Textdatei mit Hunderten, wenn nicht Tausenden von Wörterbuchwörtern, die normalerweise in alphabetischer Reihenfolge aufgeführt sind.
Angenommen, Sie haben eine Wörterbuchdatei, die Sie von einer der Websites in der folgenden Liste heruntergeladen haben. Die englische Wörterbuchdatei auf der Purdue-Seite enthält ein Wort pro Zeile, beginnend mit 10th, 1st … bis hin zu zygote.
Viele Dienstprogramme zum Aufspüren von Kennwörtern können ein separates Wörterbuch verwenden, das Sie aus dem Internet erstellen oder herunterladen. Sind hier einige populäre Aufstellungsorte, die Wörterbuchdateien und andere verschiedene Wortlisten unterbringen:
-
ftp: // ftp. Cerias. purdue. edu / pub / dict
-
www. Außenpost9. com / Dateien / Wortlisten. html
Vergessen Sie nicht, auch andere Sprachdateien wie Spanisch und Klingonisch zu verwenden.
Dictionary-Angriffe sind nur so gut wie die Wörterbuchdateien, die Sie Ihrem Passwort-Cracking-Programm liefern. Sie können problemlos Tage oder sogar Wochen damit verbringen, Kennwörter mit Wörterbuchangriffen zu knacken. Wenn Sie kein Zeitlimit oder ähnliche Erwartungen festlegen, werden Sie wahrscheinlich feststellen, dass das Knacken von Wörterbuch oft eine bloße Übung in Sinnlosigkeit ist. Die meisten Wörterbuchangriffe sind gut für schwache (leicht erratene) Passwörter.
Einige spezielle Wörterbücher haben jedoch häufige Rechtschreibfehler oder alternative Schreibweisen von Wörtern, wie pa $$ w0rd (Passwort) und 5ecur1ty (Sicherheit). Darüber hinaus können spezielle Wörterbücher nicht-englische Wörter und thematische Wörter aus Religionen, Politik oder Star Trek enthalten.
Brute-Force-Angriffe
Brute-Force-Angriffe können bei ausreichendem Zeitaufwand praktisch jedes Passwort knacken. Brute-Force-Angriffe versuchen jede Kombination von Zahlen, Buchstaben und Sonderzeichen, bis das Passwort entdeckt wird. Viele Dienstprogramme zum Aufspüren von Kennwörtern ermöglichen es Ihnen, Prüfkriterien wie die Zeichensätze, die Kennwortlänge für den Versuch und bekannte Zeichen (für einen "Masken" -Angriff) anzugeben.
Ein Brute-Force-Test kann je nach Anzahl der Accounts, der damit verbundenen Komplexität des Passworts und der Geschwindigkeit des Computers, auf dem die Cracking-Software ausgeführt wird, einige Zeit in Anspruch nehmen.So mächtig das Brute-Force-Testen auch sein mag, es kann buchstäblich ewig dauern, bis alle möglichen Passwortkombinationen erschöpft sind, was in der Realität in jeder Situation nicht praktikabel ist.
Intelligente Hacker versuchen Anmeldungen langsam oder zu zufälligen Zeiten, so dass die fehlgeschlagenen Versuche in den Systemprotokolldateien nicht so offensichtlich sind. Einige böswillige Benutzer rufen möglicherweise sogar den IT-Helpdesk an, um einen Reset des gerade ausgesperrten Kontos zu versuchen. Diese Social-Engineering-Technik könnte ein großes Problem darstellen, insbesondere dann, wenn die Organisation über keine Mechanismen verfügt, um zu verifizieren, dass die Benutzer diejenigen sind, von denen sie sagen, sie seien es.
Kann ein auslaufendes Passwort den Angriff eines Hackers verhindern und die Passwort-Crack-Software unbrauchbar machen? Ja. Nachdem das Passwort geändert wurde, muss das Cracken erneut beginnen, wenn der Hacker alle möglichen Kombinationen testen möchte.
Dies ist ein Grund, warum es sinnvoll ist, die Passwörter regelmäßig zu ändern. Eine Verkürzung des Änderungsintervalls kann das Risiko von Passwörtern reduzieren, aber auch in Ihrem Unternehmen politisch ungünstig sein. Sie müssen ein Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit finden. Weitere Informationen zu diesem Thema finden Sie im Dokument Password Management Guideline des US-Verteidigungsministeriums.
Ausreichende Passwort-Cracking-Versuche sind normalerweise nicht notwendig. Die meisten Passwörter sind ziemlich schwach. Sogar minimale Passwortanforderungen, wie zum Beispiel eine Passwortlänge, können Ihnen bei Ihren Tests helfen. Möglicherweise können Sie Sicherheitsrichtlinieninformationen mithilfe anderer Tools oder über Ihren Webbrowser ermitteln. Wenn Sie diese Kennwortrichtlinieninformationen finden, können Sie Ihre Crackprogramme mit genau definierten Crackparametern konfigurieren, die häufig schnellere Ergebnisse liefern.
Rainbow-Angriffe
Ein Regenbogen-Passwort-Angriff nutzt Rainbow-Cracking, um verschiedene Passwort-Hashes für LM, NTLM, Cisco PIX und MD5 schneller und mit extrem hohen Erfolgsraten (fast 100 Prozent) zu knacken. Die Passwort-Knack-Geschwindigkeit wird bei einem Regenbogenangriff erhöht, weil die Hashes vorberechnet werden und somit nicht einzeln erzeugt werden müssen, wie dies bei Wörterbuch- und Brute-Force-Cracking-Verfahren der Fall ist.
Im Gegensatz zu Wörterbuch- und Brute-Force-Angriffen können Regenbogenangriffe nicht dazu verwendet werden, Passwort-Hashes unbegrenzter Länge zu knacken. Die aktuelle maximale Länge für Microsoft LM-Hashes beträgt 14 Zeichen und die maximale Länge beträgt 16 Zeichen (wörterbuchbasiert) für Windows Vista und 7 Hashes. Die Regenbogen-Tische können über die ophcrack-Website erworben und heruntergeladen werden.
Es gibt eine Längenbegrenzung, da es signifikant dauert, diese Rainbow-Tabellen zu erzeugen. Bei genügend Zeit wird eine ausreichende Anzahl von Tabellen erstellt. Bis dahin haben Computer und Anwendungen wahrscheinlich unterschiedliche Authentifizierungsmechanismen und Hash-Standards - einschließlich einer neuen Reihe von Sicherheitslücken - zu bewältigen. Die Arbeitsplatzsicherheit für ethisches Hacken hört nie auf zu wachsen.
Wenn Sie einen guten Satz von Rainbow-Tabellen haben, wie sie über die ophcrack-Site und Project RainbowCrack angeboten werden, können Sie Passwörter in Sekunden, Minuten oder Stunden im Vergleich zu Tagen, Wochen oder sogar Jahren knacken -Force-Methoden.
