Bagaimana untuk cuba memecahkan kata laluan sendiri untuk menguji kekuatannya

Artikel itu menguji 3 kata laluan berbeza dengan alat pemecah kata laluan sumber terbuka untuk mengetahui kaedah mana yang benar-benar berfungsi apabila ia berkaitan dengan keselamatan kata laluan.

Jadual Kandungan

Apakah itu peretasan kata laluan?

Bagaimana untuk cuba memecahkan kata laluan sendiri untuk menguji kekuatannya

Apabila anda membuat akaun dengan perkhidmatan dalam talian, pembekal biasanya menyulitkan maklumat log masuk anda pada pelayan mereka. Ini dilakukan menggunakan algoritma untuk mencipta "cincang", rentetan rawak huruf dan nombor yang kelihatan unik untuk kata laluan anda. Sudah tentu, ia tidak begitu rawak, tetapi rentetan aksara yang sangat spesifik yang hanya boleh dijana oleh kata laluan anda, tetapi pada mata yang tidak terlatih ia kelihatan seperti huru-hara.

Mengubah perkataan menjadi cincang adalah lebih pantas dan lebih mudah daripada "menyahkod" cincang itu kembali kepada perkataan semula. Jadi apabila anda menetapkan kata laluan, perkhidmatan yang anda log masuk menjalankan kata laluan anda melalui cincang dan menyimpan hasilnya pada pelayan mereka.

Jika fail kata laluan ini bocor, penggodam akan cuba mengetahui kandungannya dengan memecahkan kata laluan tersebut. Memandangkan menyulitkan kata laluan adalah lebih pantas daripada menyahsulitnya, penggodam akan menyediakan sistem yang mengambil kata laluan berpotensi sebagai input, menyulitkannya menggunakan kaedah yang sama seperti pelayan, dan kemudian membandingkan hasilnya dengan pangkalan data kata laluan.

Jika cincang kata laluan berpotensi sepadan dengan mana-mana entri dalam pangkalan data, penggodam tahu bahawa setiap percubaan sepadan dengan kata laluan berpotensi yang dicuba.

Cara Memecahkan Kata Laluan Anda Sendiri Menggunakan HashCat

Cuba pecahkan beberapa kata laluan yang telah dijana oleh artikel untuk melihat betapa mudahnya ia. Untuk melakukan ini, contoh akan menggunakan Hashcat , alat pemecah kata laluan percuma dan sumber terbuka yang boleh digunakan oleh sesiapa sahaja.

Untuk ujian ini, contoh akan memecahkan kata laluan berikut:

  • 123456 : Kata laluan klasik dan mimpi ngeri keselamatan siber, 123456 ialah kata laluan yang paling biasa digunakan di dunia . NordPass mengira bahawa 3 juta akaun menggunakan 123456 sebagai kata laluan mereka, termasuk 1.2 juta melindungi akaun peringkat korporat.
  • Susan48! : Kata laluan yang mengikut corak yang kebanyakan pengguna akan gunakan untuk mencipta kata laluan selamat. Ini biasanya memenuhi kriteria untuk perlindungan kata laluan asas, tetapi seperti yang akan kita terokai kemudian, ia mempunyai beberapa kelemahan penting yang boleh dieksploitasi.
  • t9^kJ$2q9a : Kata laluan yang dijana menggunakan alat Bitwarden. Ia ditetapkan untuk menjana kata laluan sepanjang 10 aksara dengan huruf besar dan kecil, simbol dan nombor.

Sekarang, enkripsi kata laluan menggunakan MD5. Begini rupa kata laluan jika ia berada dalam fail kata laluan yang disimpan:

  • 123456 : e10adc3949ba59abbe56e057f20f883e
  • Susan48! : df1ce7227606805745ee6cbc644ecbe4
  • t9^kJ$2q9a : 450e4e0ad3ed8766cb2ba83081c0a625

Sekarang, tiba masanya untuk memecahkan mereka.

Lakukan jailbreak mudah menggunakan kaedah Dictionary Attack

Bagaimana untuk cuba memecahkan kata laluan sendiri untuk menguji kekuatannya

Untuk memulakan, mari lakukan Serangan Kamus, salah satu kaedah serangan kata laluan yang paling biasa. Ini adalah serangan mudah di mana penggodam mengambil senarai kata laluan yang berpotensi, meminta Hashcat menukarnya kepada MD5, dan melihat sama ada mana-mana kata laluan sepadan dengan 3 entri di atas. Untuk ujian ini, mari gunakan fail "rockyou.txt" sebagai kamus kami, yang merupakan salah satu kebocoran kata laluan terbesar dalam sejarah.

Untuk mula memecahkan, pengarang artikel pergi ke folder Hashcat, klik kanan pada ruang kosong dan klik Buka dalam Terminal . Sekarang bahawa Terminal dibuka dan ditetapkan ke direktori Hashcat, gunakan aplikasi Hashcat dengan arahan berikut:

.\hashcat -m 0 -a 0 passwordfile.txt rockyou.txt -o results.txt

Inilah yang dilakukan oleh perintah itu:

  • .\hashcat memanggil Hashcat.
  • -m 0 : Menentukan jenis pengekodan untuk digunakan. Kes ini akan menggunakan MD5, disenaraikan sebagai 0 pada dokumentasi bantuan Hashcat.
  • -a 0 : Menentukan serangan untuk dilakukan. Dokumentasi bantuan Hashcat menyenaraikan Serangan Kamus sebagai sifar, jadi kami menyebutnya di sini.
  • passwordfile.txt rockyou.txt : Fail pertama mengandungi 3 kata laluan yang disulitkan yang kami sediakan sebelum ini. Fail kedua ialah keseluruhan pangkalan data kata laluan rockyou.
  • -o results.txt : Pembolehubah ini menentukan di mana kita meletakkan keputusan. Dalam arahan, ia meletakkan kata laluan yang retak ke dalam fail TXT bernama "hasil".

Walaupun rockyou hebat, Hashcat memproses kesemuanya dalam masa 6 saat. Dalam fail yang terhasil, Hashcat mengatakan ia memecahkan kata laluan 123456, tetapi kata laluan Susan dan Bitwarden kekal tidak retak. Itu kerana 123456 telah digunakan oleh orang lain dalam fail rockyou.txt, tetapi tiada orang lain menggunakan kata laluan Susan atau Bitwarden, bermakna mereka cukup selamat untuk bertahan dari serangan ini.

Lakukan jailbreak yang lebih kompleks menggunakan serangan Brute Force tersembunyi

Bagaimana untuk cuba memecahkan kata laluan sendiri untuk menguji kekuatannya
Lakukan Serangan Brute Force dengan Hashcat

Serangan Kamus berkesan apabila seseorang menggunakan kata laluan yang sama seperti kata laluan yang terdapat dalam senarai kata laluan yang besar. Mereka cepat dan mudah untuk dilaksanakan, tetapi mereka tidak boleh memecahkan kata laluan yang tiada dalam kamus. Oleh itu, jika anda benar-benar ingin menguji kata laluan anda, anda perlu menggunakan serangan Brute Force.

Jika Dictionary Attacks hanya mengambil senarai pra-tetap dan menukarnya satu demi satu, maka serangan Brute Force melakukan perkara yang sama tetapi dengan setiap kombinasi yang boleh dibayangkan. Mereka lebih sukar untuk dilaksanakan dan mengambil lebih banyak masa, tetapi mereka akhirnya akan memecahkan sebarang kata laluan. Seperti yang akan kita lihat tidak lama lagi, keupayaan itu kadang-kadang boleh mengambil masa yang lama.

Berikut ialah arahan yang digunakan untuk melakukan serangan Brute Force "sebenar":

.\hashcat -m 0 -a 3 target.txt --increment ?a?a?a?a?a?a?a?a?a?a -o output.txt

Inilah yang dilakukan oleh perintah itu:

  • -a 3 : Pembolehubah ini mentakrifkan serangan yang ingin kita lakukan. Dokumentasi bantuan Hashcat menyenaraikan serangan Brute Force sebagai nombor 3, jadi ia dipanggil di sini.
  • target.txt : Fail yang mengandungi kata laluan yang disulitkan yang ingin kami pecahkan.
  • --increment : Perintah ini memberitahu Hashcat untuk mencuba semua kata laluan yang panjangnya satu aksara, kemudian dua, kemudian tiga, dsb. sehingga ia menemui padanan.
  • ?a?a?a?a?a?a?a?a?a?a : Ini dipanggil "topeng". Topeng membolehkan kami memberitahu Hashcat aksara yang digunakan dalam kedudukan mana. Setiap tanda soal menentukan kedudukan aksara dalam kata laluan dan huruf itu menentukan perkara yang kita cuba pada setiap kedudukan. Huruf "a" mewakili huruf besar dan kecil, nombor dan simbol, jadi topeng ini mengatakan "Cuba semua pada setiap kedudukan". Ini adalah topeng yang mengerikan, tetapi kita akan menggunakannya dengan berkesan kemudian.
  • -o output.txt : Pembolehubah ini menentukan di mana kita meletakkan keputusan. Perintah contoh meletakkan kata laluan yang retak ke dalam fail TXT bernama "output".

Walaupun dengan topeng buruk ini, kata laluan 123456 retak dalam masa 15 saat. Walaupun ia adalah kata laluan yang paling biasa, ia adalah salah satu yang paling lemah.

Kata laluan "Susan48!" jauh lebih baik - komputer berkata ia akan mengambil masa 4 hari untuk retak. Namun, ada satu masalah. Ingat apabila artikel itu mengatakan bahawa kata laluan Susan mempunyai beberapa kelemahan yang serius? Kesilapan terbesar ialah kata laluan dibina dengan cara yang boleh diramal.

Apabila membuat kata laluan, kami sering meletakkan elemen tertentu di tempat tertentu. Anda boleh bayangkan pencipta kata laluan Susan cuba menggunakan "susan" pada mulanya tetapi diminta untuk menambah huruf besar dan nombor. Untuk memudahkan ingatan, mereka menggunakan huruf besar huruf pertama dan menambah nombor pada penghujungnya. Kemudian mungkin perkhidmatan log masuk meminta simbol, jadi penetap kata laluan melekatkannya hingga akhir.

Jadi kita boleh menggunakan topeng untuk memberitahu Hashcat supaya mencuba aksara tertentu sahaja di tempat tertentu untuk mengeksploitasi betapa mudahnya orang meneka semasa membuat kata laluan. Dalam topeng ini, "?u" hanya akan menggunakan huruf besar pada kedudukan itu, "?l" hanya akan menggunakan huruf kecil dan "?a" mewakili sebarang aksara:

.\hashcat -m 0 -a 3 -1 ?a target.txt ?u?l?l?l?l?a?a?a -o output.txt

Dengan topeng ini, Hashcat memecahkan kata laluan dalam masa 3 minit dan 10 saat, lebih cepat daripada 4 hari.

Kata laluan Bitwarden ialah 10 aksara panjang dan tidak menggunakan sebarang corak yang boleh diramal, jadi ia memerlukan serangan Brute Force tanpa sebarang topeng untuk memecahkannya. Malangnya, apabila meminta Hashcat berbuat demikian, ia memberikan ralat, mengatakan bahawa bilangan kombinasi yang mungkin melebihi had integer. Pakar keselamatan IT berkata Bitwarden mengambil masa 3 tahun untuk memecahkan kata laluan, jadi itu sudah memadai.

Bagaimana untuk memastikan akaun anda selamat daripada penggodaman kata laluan

Faktor utama yang menghalang artikel daripada memecahkan kata laluan Bitwarden ialah panjangnya (10 aksara) dan tidak dapat diramalkan. Oleh itu, semasa membuat kata laluan, cuba buat selama mungkin dan edarkan simbol, nombor dan huruf besar secara sama rata di seluruh kata laluan. Ini menghalang penggodam daripada menggunakan topeng untuk meramalkan lokasi setiap elemen dan menjadikannya lebih sukar untuk dipecahkan.

Anda mungkin tahu pepatah kata laluan lama seperti "gunakan tatasusunan aksara" dan "jadikan ia selama mungkin." Mudah-mudahan anda tahu sebab orang mengesyorkan petua berguna ini – ia adalah perbezaan utama antara kata laluan yang mudah dipecahkan dan yang selamat.

Sign up and earn $1000 a day ⋙

Leave a Comment

Perbezaan antara TV biasa dan TV Pintar

Perbezaan antara TV biasa dan TV Pintar

TV pintar benar-benar telah melanda dunia. Dengan begitu banyak ciri hebat dan sambungan internet, teknologi telah mengubah cara kita menonton TV.

Mengapa peti sejuk tidak mempunyai lampu tetapi peti sejuk ada?

Mengapa peti sejuk tidak mempunyai lampu tetapi peti sejuk ada?

Peti sejuk adalah peralatan biasa dalam isi rumah. Peti ais biasanya mempunyai 2 kompartmen iaitu ruang sejuk yang luas dan mempunyai lampu yang menyala secara automatik setiap kali pengguna membukanya, manakala ruang peti sejuk beku pula sempit dan tiada cahaya.

2 Cara untuk Membetulkan Kesesakan Rangkaian Yang Melambatkan Wi-Fi

2 Cara untuk Membetulkan Kesesakan Rangkaian Yang Melambatkan Wi-Fi

Rangkaian Wi-Fi dipengaruhi oleh banyak faktor di luar penghala, lebar jalur dan gangguan, tetapi terdapat beberapa cara pintar untuk meningkatkan rangkaian anda.

Cara Menurunkan Taraf daripada iOS 17 kepada iOS 16 tanpa Kehilangan Data menggunakan Tenorshare Reiboot

Cara Menurunkan Taraf daripada iOS 17 kepada iOS 16 tanpa Kehilangan Data menggunakan Tenorshare Reiboot

Jika anda ingin kembali kepada iOS 16 yang stabil pada telefon anda, berikut ialah panduan asas untuk menyahpasang iOS 17 dan menurunkan taraf daripada iOS 17 kepada 16.

Apa yang berlaku kepada badan apabila anda makan yogurt setiap hari?

Apa yang berlaku kepada badan apabila anda makan yogurt setiap hari?

Yogurt adalah makanan yang indah. Adakah baik untuk makan yogurt setiap hari? Apabila anda makan yogurt setiap hari, bagaimana badan anda akan berubah? Mari kita ketahui bersama!

Apakah jenis beras yang terbaik untuk kesihatan?

Apakah jenis beras yang terbaik untuk kesihatan?

Artikel ini membincangkan jenis beras yang paling berkhasiat dan cara memaksimumkan manfaat kesihatan bagi mana-mana beras yang anda pilih.

Bagaimana untuk bangun tepat pada waktunya pada waktu pagi

Bagaimana untuk bangun tepat pada waktunya pada waktu pagi

Menetapkan jadual tidur dan rutin waktu tidur, menukar jam penggera anda dan melaraskan diet anda ialah beberapa langkah yang boleh membantu anda tidur dengan lebih lena dan bangun tepat pada waktunya pada waktu pagi.

Petua untuk bermain Rent Please! Tuan Tanah Sim untuk Pemula

Petua untuk bermain Rent Please! Tuan Tanah Sim untuk Pemula

Tolong Sewa! Landlord Sim ialah permainan mudah alih simulasi pada iOS dan Android. Anda akan bermain sebagai tuan tanah kompleks pangsapuri dan mula menyewa sebuah apartmen dengan matlamat untuk menaik taraf bahagian dalam pangsapuri anda dan menyediakannya untuk penyewa.

Kod Pertahanan Menara Bilik Mandi Terkini dan Cara Memasukkan Kod

Kod Pertahanan Menara Bilik Mandi Terkini dan Cara Memasukkan Kod

Dapatkan kod permainan Bathroom Tower Defense Roblox dan tebus untuk ganjaran yang menarik. Mereka akan membantu anda menaik taraf atau membuka kunci menara dengan kerosakan yang lebih tinggi.

Struktur, simbol dan prinsip operasi transformer

Struktur, simbol dan prinsip operasi transformer

Mari belajar tentang struktur, simbol dan prinsip operasi transformer dengan cara yang paling tepat.

4 Cara AI Menjadikan TV Pintar Lebih Baik

4 Cara AI Menjadikan TV Pintar Lebih Baik

Daripada kualiti gambar dan bunyi yang lebih baik kepada kawalan suara dan banyak lagi, ciri dikuasakan AI ini menjadikan TV pintar lebih baik!

Mengapa ChatGPT lebih baik daripada DeepSeek

Mengapa ChatGPT lebih baik daripada DeepSeek

Pada mulanya, orang ramai menaruh harapan yang tinggi untuk DeepSeek. Sebagai chatbot AI yang dipasarkan sebagai pesaing kuat kepada ChatGPT, ia menjanjikan keupayaan dan pengalaman sembang pintar.

Temui Fireflies.ai: Setiausaha AI Percuma Yang Menjimatkan Masa Kerja Anda

Temui Fireflies.ai: Setiausaha AI Percuma Yang Menjimatkan Masa Kerja Anda

Sangat mudah untuk terlepas butiran penting semasa mencatat perkara penting lain, dan cuba mencatat nota semasa bersembang boleh mengganggu. Fireflies.ai adalah penyelesaiannya.

Bagaimana untuk membesarkan Axolotl Minecraft, menjinakkan Minecraft Salamander

Bagaimana untuk membesarkan Axolotl Minecraft, menjinakkan Minecraft Salamander

Axolot Minecraft akan menjadi pembantu yang hebat untuk pemain semasa beroperasi di bawah air jika mereka tahu cara menggunakannya.

Tempat yang Tenang: Konfigurasi Permainan PC Jalan Hadapan

Tempat yang Tenang: Konfigurasi Permainan PC Jalan Hadapan

Tempat yang Tenang: Konfigurasi The Road Ahead dinilai agak tinggi, jadi anda perlu mempertimbangkan konfigurasi sebelum membuat keputusan untuk memuat turun.