Hacking

Cách bẻ khóa mật khẩu của một ứng dụng

Bẻ khóa mật khẩu là gì?

Bẻ khóa mật khẩu là quá trình cố gắng truy cập Trái phép vào các hệ thống bị hạn chế bằng cách sử dụng mật khẩu phổ biến hoặc thuật toán đoán mật khẩu. Nói cách khác, đó là một kỹ thuật lấy đúng mật khẩu cho phép truy cập vào hệ thống được bảo vệ bằng phương pháp xác thực.

Việc bẻ khóa mật khẩu sử dụng một số kỹ thuật để đạt được mục tiêu của nó. Quá trình bẻ khóa có thể liên quan đến việc so sánh mật khẩu được lưu trữ với danh sách từ hoặc sử dụng các thuật toán để tạo mật khẩu phù hợp

Tìm hiểu về :

Trong Hướng dẫn này, chúng tôi sẽ giới thiệu cho bạn các kỹ thuật bẻ khóa mật khẩu phổ biến và các biện pháp đối phó mà bạn có thể thực hiện để bảo vệ hệ thống chống lại các cuộc tấn công như vậy.

Độ mạnh của mật khẩu là gì?

Độ mạnh của mật khẩu là thước đo hiệu quả của mật khẩu để chống lại các cuộc tấn công bẻ khóa mật khẩu . Độ mạnh của mật khẩu được xác định bởi;

  • Độ dài : số ký tự mà mật khẩu chứa.
  • Độ phức tạp : nó có sử dụng kết hợp các chữ cái, số và ký hiệu không?
  • Tính không thể đoán trước : nó có phải là thứ có thể dễ dàng đoán được bởi kẻ tấn công không?

Bây giờ chúng ta hãy xem xét một ví dụ thực tế. Chúng tôi sẽ sử dụng ba mật khẩu cụ thể là

1.   mật khẩu

2.   mật khẩu1

3.   # password1 $

Đối với ví dụ này, chúng tôi sẽ sử dụng chỉ báo độ mạnh mật khẩu của Cpanel khi tạo mật khẩu. Các hình ảnh dưới đây cho thấy độ mạnh mật khẩu của từng mật khẩu được liệt kê ở trên.

Lưu ý : mật khẩu được sử dụng là mật khẩu có độ mạnh là 1 và rất yếu.

Lưu ý : mật khẩu được sử dụng là mật khẩu1 độ mạnh là 28 và vẫn còn yếu.

Lưu ý : Mật khẩu được sử dụng là # password1 $, độ mạnh là 60 và rất mạnh.

Số độ mạnh càng cao, mật khẩu càng tốt.

Giả sử rằng chúng ta phải lưu trữ các mật khẩu ở trên bằng cách sử dụng mã hóa md5. Chúng tôi sẽ sử dụng trình tạo băm md5 trực tuyến để chuyển đổi mật khẩu của chúng tôi thành băm md5.

Bảng dưới đây hiển thị các băm mật khẩu

Mật khẩu MD5 Hash Chỉ báo sức mạnh cpanel
mật khẩu 5f4dcc3b5aa765d61d8327deb882cf99 1
password1 7c6a180b36896a0a8c02787eeafb0e4c 28
# password1 $ 29e08fb7103c327d68327f23d8d9256c 60

 

Bây giờ chúng tôi sẽ sử dụng http://www.md5this.com/ để crack các băm ở trên. Các hình ảnh dưới đây cho thấy kết quả bẻ khóa mật khẩu của các mật khẩu trên.

 

 

Như bạn có thể thấy từ kết quả trên, chúng tôi đã bẻ khóa mật khẩu thứ nhất và thứ hai có số độ mạnh thấp hơn. Chúng tôi đã không quản lý để bẻ khóa mật khẩu thứ ba dài hơn, phức tạp và không thể đoán trước được. Nó có một con số sức mạnh cao hơn.

Kỹ thuật bẻ khóa mật khẩu

Có một số kỹ thuật có thể được sử dụng để bẻ khóa mật khẩu . Chúng tôi sẽ mô tả những cái được sử dụng phổ biến nhất bên dưới;

  • Tấn công từ điển – Phương pháp này liên quan đến việc sử dụng danh sách từ để so sánh với mật khẩu của người dùng.
  • Tấn công vũ phu – Phương pháp này tương tự như tấn công từ điển. Các cuộc tấn công bạo lực sử dụng các thuật toán kết hợp các ký tự chữ-số và ký hiệu để tạo ra mật khẩu cho cuộc tấn công. Ví dụ: mật khẩu có giá trị “password” cũng có thể được thử dưới dạng từ p @ $$ bằng cách sử dụng cuộc tấn công brute force.
  • Tấn công bảng cầu vồng – Phương pháp này sử dụng các hàm băm được tính toán trước. Giả sử rằng chúng ta có một cơ sở dữ liệu lưu trữ mật khẩu dưới dạng băm md5. Chúng ta có thể tạo một cơ sở dữ liệu khác có mã băm md5 của các mật khẩu thường được sử dụng. Sau đó, chúng tôi có thể so sánh mật khẩu băm mà chúng tôi có với các băm được lưu trữ trong cơ sở dữ liệu. Nếu một kết quả phù hợp được tìm thấy, thì chúng tôi có mật khẩu.
  • Đoán – Như tên cho thấy, phương pháp này liên quan đến việc đoán. Các mật khẩu như qwerty, password, admin, v.v. thường được sử dụng hoặc đặt làm mật khẩu mặc định. Nếu chúng chưa được thay đổi hoặc nếu người dùng bất cẩn khi chọn mật khẩu, chúng có thể dễ dàng bị xâm phạm.
  • Nói xấu – Hầu hết các tổ chức sử dụng mật khẩu có chứa thông tin công ty. Thông tin này có thể được tìm thấy trên các trang web của công ty, các phương tiện truyền thông xã hội như facebook, twitter,… Thêu thu thập thông tin từ các nguồn này để đưa ra danh sách từ. Danh sách từ sau đó được sử dụng để thực hiện các cuộc tấn công từ điển và vũ phu.

Thêu từ điển mẫu tấn công danh sách từ

1976 <năm sinh của người sáng lập>

smith jones <tên người sáng lập>

acme <tên công ty / tên viết tắt>

xây dựng | đến | cuối cùng <từ trong tầm nhìn / sứ mệnh của công ty>

chơi gôn | cờ vua | bóng đá <sở thích của những người sáng lập

Công cụ bẻ khóa mật khẩu

Đây là những chương trình phần mềm được sử dụng để bẻ khóa mật khẩu của người dùng . Chúng ta đã xem xét một công cụ tương tự trong ví dụ trên về độ mạnh của mật khẩu. Trang web www.md5this.com sử dụng bảng cầu vồng để bẻ khóa mật khẩu. Bây giờ chúng ta sẽ xem xét một số công cụ thường được sử dụng

John the Ripper

John the Ripper sử dụng dấu nhắc lệnh để bẻ khóa mật khẩu. Điều này làm cho nó phù hợp với những người dùng nâng cao cảm thấy thoải mái khi làm việc với các lệnh. Nó sử dụng danh sách từ để bẻ khóa mật khẩu. Chương trình là miễn phí, nhưng danh sách từ phải được mua. Nó có danh sách từ thay thế miễn phí mà bạn có thể sử dụng. Truy cập trang web của sản phẩm https://www.openwall.com/john/ để biết thêm thông tin và cách sử dụng nó.

Cain & Abel

Cain & Abel chạy trên windows. Nó được sử dụng để khôi phục mật khẩu cho tài khoản người dùng, khôi phục mật khẩu Microsoft Access; đánh giá mạng, v.v. Không giống như John the Ripper, Cain & Abel sử dụng giao diện người dùng đồ họa. Nó rất phổ biến trong số những người mới và những người mới tập viết vì tính đơn giản của việc sử dụng. Truy cập trang web của sản phẩm https://www.softpedia.com/get/Security/Decrypting-Decoding/Cain-and-Abel.shtml để biết thêm thông tin và cách sử dụng nó.

Ophcrack

Ophcrack là một trình bẻ khóa mật khẩu Windows đa nền tảng, sử dụng các bảng cầu vồng để bẻ khóa mật khẩu. Nó chạy trên Windows, Linux và Mac OS. Nó cũng có một mô-đun cho các cuộc tấn công vũ phu trong số các tính năng khác. Truy cập trang web sản phẩm https://ophcrack.sourceforge.io/  để biết thêm thông tin và cách sử dụng.

Các biện pháp truy cập bẻ khóa mật khẩu

  • Một tổ chức có thể sử dụng các phương pháp sau để giảm nguy cơ mật khẩu bị bẻ khóa
  • Tránh các mật khẩu ngắn và dễ đoán
  • Tránh sử dụng mật khẩu có các mẫu có thể đoán trước được chẳng hạn như 11552266.
  • Mật khẩu được lưu trữ trong cơ sở dữ liệu phải luôn được mã hóa. Đối với mã hóa md5, tốt hơn hết bạn nên muối các băm mật khẩu trước khi lưu trữ chúng. Salting liên quan đến việc thêm một số từ vào mật khẩu được cung cấp trước khi tạo hàm băm.
  • Hầu hết các hệ thống đăng ký đều có các chỉ số về độ mạnh của mật khẩu, các tổ chức phải áp dụng các chính sách ưu tiên các số có độ mạnh của mật khẩu cao.

Trong trường hợp thực tế này, chúng ta sẽ bẻ khóa tài khoản Windows bằng một mật khẩu đơn giản . Windows sử dụng hàm băm NTLM để mã hóa mật khẩu . Chúng tôi sẽ sử dụng công cụ cracker NTLM trong Cain and Abel để làm điều đó.

Cain và Abel cracker có thể được sử dụng để bẻ khóa mật khẩu bằng cách sử dụng;

  • Tấn công từ điển
  • Thuật toán
  • Phân tích mật mã

Chúng tôi sẽ sử dụng cuộc tấn công từ điển trong ví dụ này. Bạn sẽ cần tải xuống danh sách từ tấn công từ điển tại đây 10k-Most-Common.zip

Đối với phần trình diễn này, chúng tôi đã tạo một tài khoản có tên là Accounts với mật khẩu qwerty trên Windows 7.

Các bước bẻ khóa mật khẩu

  • Mở Cain and Abel , bạn sẽ thấy màn hình chính như sau

  • Đảm bảo rằng tab cracker được chọn như hình trên
  • Nhấp vào nút Thêm trên thanh công cụ.

  • Cửa sổ hộp thoại sau sẽ xuất hiện

  • Các tài khoản người dùng cục bộ sẽ được hiển thị như sau. Lưu ý rằng kết quả hiển thị sẽ là của các tài khoản người dùng trên máy cục bộ của bạn.

  • Nhấp chuột phải vào tài khoản bạn muốn crack. Đối với hướng dẫn này, chúng tôi sẽ sử dụng Tài khoản làm tài khoản người dùng.

  • Màn hình sau sẽ xuất hiện

  • Nhấp chuột phải vào phần từ điển và chọn menu Thêm vào danh sách như hình trên
  • Duyệt đến 10k most common.txt mà bạn vừa tải xuống

  • Bấm vào nút bắt đầu
  • Nếu người dùng sử dụng một mật khẩu đơn giản như qwerty, thì bạn sẽ có thể nhận được các kết quả sau.

  • Lưu ý : thời gian thực hiện để bẻ khóa mật khẩu phụ thuộc vào độ mạnh, độ phức tạp của mật khẩu và khả năng xử lý của máy bạn.
  • Nếu mật khẩu không bị bẻ khóa bằng cách sử dụng cuộc tấn công từ điển, bạn có thể thử các cuộc tấn công bạo lực hoặc phá mã.

Tóm lược

  • Bẻ khóa mật khẩu là nghệ thuật khôi phục mật khẩu được lưu trữ hoặc truyền đi.
  • Độ mạnh của mật khẩu được xác định bởi độ dài, độ phức tạp và tính không thể đoán trước của giá trị mật khẩu.
  • Các kỹ thuật mật khẩu phổ biến bao gồm tấn công từ điển, bạo lực, bảng cầu vồng, thêu và bẻ khóa.
  • Các công cụ bẻ khóa mật khẩu đơn giản hóa quá trình bẻ khóa mật khẩu.

Blog Tiền Điện Tử

Blog tiền điện tử công thông tin tổng hợp uy tín nhất tất cả các mảng xã hội, giáo dục , công nghệ số. Với khả năng số hóa mạnh mẽ hy vọng sẽ mang lại cho quý bạn đọc những thông tin chính xác nhất 24/24
Back to top button