۱۰ ابزار محبوب برای کرک پسورد
۱۰ ابزار محبوب برای کرک پسورد
پسورد ها متداول ترین روش برای تأیید اعتبار کاربر هستند. رمزهای عبور بسیار محبوب هستند زیرا منطق موجود در آنها برای مردم منطقی است و پیاده سازی آنها برای توسعه دهندگان نسبتاً آسان است. با این حال، گذرواژه ها همچنین می توانند آسیب پذیری های امنیتی را معرفی کنند. پسورد کرکرها برای بدست آوردن اطلاعات معتبر پسوردها و استخراج رمزهای عبور طراحی شده اند.
کرک پسورد چیست؟
یک سیستم احراز هویت مبتنی بر رمز عبور دقیقا رمز ورود کاربر را به همان شیوه ذخیره نمی کند. این کار دسترسی هکرها یا افراد مخرب را برای دسترسی به حساب های کاربری سیستم سخت می کند.
بجای ذخیره رمز عبور کاربر سیستم های احراز هویت یک هش از رمز عبور را ذخیره می کنند، که نتیجه انجام عملیات هش روی رمز عبور و همچنین افزودن یک مقدار تصادفی به نام نمک است. توابع هش به صورت یک طرفه طراحی شده اند، به این معنی که مشخص کردن ورودی از روی یک خروجی بسیار دشوار است. از آنجا که توابع هش قطعی نیز هستند (به این معنی که با ورودی یکسان، خروجی یکسان تولید می کنند) پس مقایسه دو هش پسورد ذخیره شده و وارد شده توسط کاربر مشابه مقایسه دو پسورد در حالت هش نشده است با این تفاوت که با هش رمزهای عبور امنیت بیشتری را برای سیستم ایجاد می کنیم.
کرک پسورد به فرآیند استخراج رمزهای عبور از هش رمز عبور مرتبط اشاره دارد. حملات پسورد را می توان با چند روش مختلف انجام داد:
- حمله دیکشنری: بیشتر افراد از رمزهای عبور ضعیف و رایج استفاده می کنند. البته با اضافه کردن چند جایگزینی – مانند جایگزینی $ با s – میتوان یک رمزعبور قوی را ایجاد کرد که راحت به خاطر سپرده می شود.
- حمله Brute-force: تعداد مشخصی پسورد با یک طول معین وجود دارد. در این نوع حمله با تولید تمام پسورد های احتمالی در نهایت مهاجم رمز عبور را خواهد شکست.
- حمله ترکیبی: حمله ترکیبی این دو روش را با هم مخلوط می کند. این کار با بررسی اینکه آیا رمز عبور با استفاده از حمله فرهنگ لغت شکسته می شود، شروع می شود، سپس در صورت عدم موفقیت به سمت حمله Brute-force می رود.
بیشتر ابزارهای رمز شکن یا رمز یاب هکرها را قادر می سازد هر یک از این نوع حملات را انجام دهد. در این مقاله برخی از متداول ترین ابزارهای کرک پسورد را مورد بررسی قرار گرفته اند.
۱۰ ابزار محبوب برای کرک پسورد:
۱. Hashcat
Hashcat یکی از محبوب ترین و پرکاربردترین کرکرهای پسورد است. این برنامه قابل استفاده روی هر سیستم عامل موجود است و از بیش از ۳۰۰ نوع مختلف هش پشتیبانی می کند.
Hashcat امکان شکستن رمزهای عبور مختلف را با قابلیت شکستن چندین رمز عبور مختلف بر روی چندین دستگاه مختلف به طور همزمان را فراهم می کند. این ابزار کار بهینه سازی performance را با نظارت بر دما انجام می دهد.
۲. John the Ripper
John Ripper ابزاری کاملاً شناخته شده و رایگان برای شکستن رمز عبور برای لینوکس، یونیکس و Mac OS X است. همچنین نسخه ویندوز آن نیز در دسترس است.
این نرم افزار کرک رمز عبور را برای انواع مختلف رمزهای عبور مختلف ارائه می دهد. کاربرد این ابزار فراتر از رمزهای عبور سیستم عامل است و شامل برنامه های وب رایج (مانند وردپرس) ، فایل های فشرده ، فایل های Microsoft Office ، PDF و موارد دیگر است.
نسخه حرفه ای این ابزار نیز در دسترس است که ویژگی های بهتر و بسته های بومی را برای سیستم عامل های هدف ارائه می دهد. همچنین می توانید Openwall GNU / * / Linux را که همراه با John Ripper همراه است بارگیری کنید.
۳. Brutus
Brutus یکی از محبوب ترین ابزارهای کرک پسورد آنلاین از راه دور است. این ابزار ادعا می کند سریعترین و انعطاف پذیرترین ابزار شکستن پسورد است. این ابزار رایگان است و فقط برای سیستم های ویندوز در دسترس است. در اکتبر سال ۲۰۰۰ عرضه شد.
Brutus از انواع مختلف احراز هویت پشتیبانی می کند ، از جمله:
- HTTP (basic authentication)
- HTTP (HTML Form/CGI)
- POP3
- FTP
- SMB
- Telnet
- IMAP
- NNTP
- NetBus
- Custom protocols
همچنین توانایی پشتیبانی از پروتکل های احراز هویت چند مرحله ای را دارد و می تواند به طور موازی تا شصت هدف مختلف را مورد حمله قرار دهد. این برنامه همچنین توانایی مکث ، از سرگیری و وارد کردن حمله را دارد.
Brutus چندین سال است که به روز نشده است. با این حال ، پشتیبانی آن از طیف گسترده ای از پروتکل های احراز هویت و توانایی افزودن ماژول های سفارشی ، آن را به ابزاری محبوب برای حملات کرک رمز عبور آنلاین تبدیل کرده است.
۴. Wfuzz
Wfuzz ابزاری برای کرک پسورد برنامه های تحت وب مانند Brutus است که سعی می کند رمزهای عبور را از طریق حمله brute-force حدس بزند. همچنین می تواند برای یافتن منابع پنهان مانند دایرکتوری ها، سرویس ها و اسکریپت ها مورد استفاده قرار گیرد. Wfuzz همچنین می تواند آسیب پذیری های تزریق را در برنامه ای مانند تزریق SQL، تزریق XSS و تزریق LDAP شناسایی کند.
۵. THC Hydra
THC Hydra ابزاری برای کرک پسورد به صورت آنلاین است که سعی در تعیین اعتبار کاربر از طریق حمله حدس کلمه عبور دارد. این برنامه برای ویندوز ، لینوکس ، BSD رایگان ، سولاریس و سیستم عامل X موجود است.
THC Hydra با قابلیت نصب آسان و همچنین ماژول های جدید قابل توسعه است. این ابزار از تعداد زیادی پروتکل شبکه مانند زیر پشتیبانی می کند:
Asterisk, AFP, Cisco AAA, Cisco auth, Cisco enable, CVS, Firebird, FTP, HTTP-FORM-GET, HTTP-FORM-POST, HTTP-GET, HTTP-HEAD, HTTP-PROXY, HTTPS-FORM-GET, HTTPS-FORM-POST, HTTPS-GET, HTTPS-HEAD, HTTP-Proxy, ICQ, IMAP, IRC, LDAP, MS-SQL, MYSQL, NCP, NNTP, Oracle Listener, Oracle SID, Oracle, PC-Anywhere, PCNFS, POP3, POSTGRES, RDP, Rexec, Rlogin, Rsh, SAP/R3, SIP, SMB, SMTP, SMTP Enum, SNMP, SOCKS5, SSH (v1 and v2), Subversion, Teamspeak (TS2), Telnet, VMware-Auth, VNC and XMPP.
۶. Medusa
Medusa ابزاری برای شکستن رمز عبور آنلاین و مشابه THC Hydra است. این یک ابزار سریع و با کارکرد موازی است با قابلیت ماژولار برای ورود به سیستم است. این برنامه از HTTP ، FTP ، CVS ، AFP ، IMAP ، MS SQL ، MYSQL ، NCP ، NNTP ، POP3 ، PostgreSQL ، pcAnywhere ، rlogin ، SMB ، rsh ، SMTP ، SNMP ، SSH ، SVN ، VNC ، VmAuthd و Telnet پشتیبانی می کند.
Medusa یک ابزار خط فرمان است، بنابراین برای استفاده از آن سطح دانش خط فرمان لازم است. سرعت شکستن رمز عبور به اتصال شبکه بستگی دارد. در یک سیستم LAN، می تواند ۲۰۰۰ رمز عبور را در هر دقیقه آزمایش کند.
Medusa همچنین از حملات موازی پشتیبانی می کند. علاوه بر لیست کلمات عبور برای امتحان، امکان تعریف لیستی از نام های کاربری یا آدرس های ایمیل برای آزمایش در هنگام حمله وجود دارد.
۷. RainbowCrack
اگر یک مهاجم جدول پسوردها و هش آنها را از قبل محاسبه کرده و آنها را به عنوان ” rainbow table” ذخیره کرده باشد، فرایند شکستن رمز عبور به جستجوی جدول ساده می شود. این تهدید به همین دلیل است که اکنون رمزهای salted می شوند یعنی یک مقدار تصادفی منحصر به فرد به هر رمز عبور قبل از هش کردن به آنها اضافه می شود و این به این معنی است که تعداد جداول رنگین کمان مورد نیاز بسیار بیشتر است.
RainbowCrack ابزاری برای شکستن رمز های عبور است که برای کار با استفاده از rainbow tables طراحی شده است. تولید جداول رنگین کمان سفارشی یا استفاده از جداول قبلی بارگیری شده از اینترنت امکان پذیر است. RainbowCrack بارگیری رایگان جداول rainbow tables را برای سیستم های رمز عبور LANMAN ، NTLM ، MD5 و SHA1 ارائه می دهد.
۸. OphCrack
OphCrack ابزاری رایگان برای ایجاد رمز عبور بر اساس جدول رنگین کمان برای ویندوز است. این محبوب ترین ابزار کرک پسورد ویندوز است اما می تواند در سیستم های لینوکس و مک نیز مورد استفاده قرار گیرد. این ابزار هش های LM و NTLM را کرک می کند. برای کرک ویندوزهای مختلف rainbow tables نیز موجود است.
همچنین یک سی دی زنده از OphCrack برای ساده سازی کرک در دسترس است. می توان از Live CD OphCrack برای شکستن رمزهای عبور مبتنی بر ویندوز استفاده کرد. این ابزار به صورت رایگان در دسترس است.
۹. L0phtCrack
L0phtCrack جایگزینی برای OphCrack است. این ابزار تلاش می کند تا رمزهای عبور ویندوز را از طریق هش کرک کند. برای شکستن رمزهای عبور، از ایستگاه های کاری ویندوز، سرورهای شبکه، کنترل کننده های دامنه اصلی و Active Directory استفاده می کند. این برنامه همچنین از حملات دیکشنری و brute-force برای تولید و حدس زدن رمزهای عبور استفاده می کند. این ابزار توسط سیمانتک خریداری شد و در سال ۲۰۰۶ متوقف شد. بعداً ، توسعه دهندگان L0pht مجدداً آن را خریداری کردند و L0phtCrack را در سال ۲۰۰۹ راه اندازی کردند.
L0phtCrack همچنین دارای قابلیت اسکن امنیتی رمز های عبور معمول است. می توان ممیزی های روزانه، هفتگی یا ماهانه را تنظیم کرد و اسکن آنها در زمان برنامه ریزی شده شروع کرد.
۱۰. Aircrack-ng
Aircrack-ng ابزاری برای کرک پسورد Wi-Fi است که می تواند رمزهای عبور WEP یا WPA / WPA2 PSK را کرک کند. این این ابزار بسته های رمزگذاری شده بی سیم را تجزیه و تحلیل می کند و سپس سعی می کند رمزهای عبور را از طریق حملات دیکشنری و PTW ، FMS و سایر الگوریتم های شکستن رمزگشایی کند. برای سیستم های لینوکس و ویندوز موجود است. یک سی دی زنده Aircrack نیز موجود است.
نحوه ایجاد پسوردهایی که شکستن آنها سخت باشد
در این پست، ما ۱۰ ابزار شکستن رمز عبور را لیست کرده ایم. این ابزارها سعی دارند رمزهای عبور را با الگوریتم های مختلف شکستن رمز عبور رمزگشایی کنند. بیشتر ابزارهای رمز عبور به صورت رایگان در دسترس هستند. بنابراین همیشه باید سعی کنید یک رمز عبور قوی داشته باشید که شکستن آن سخت باشد. اینها چند نکته است که می توانید هنگام ایجاد رمز عبور بکار گیرید.
هرچه رمز عبور طولانی تر باشد، شکستن آن سخت تر می شود: مهمترین عامل طول رمز عبور است. پیچیدگی حمله حدس رمز عبور brute force با افزایش طول رمز عبور به طور تصاعدی رشد می کند. یک رمزعبور هفت حرفی تصادفی در عرض چند دقیقه شکسته می شود، در حالی که رمز ده کاراکتر صدها سال طول می کشد.
همیشه از ترکیبی از حروف بزرگ و کوچک، اعداد و کاراکتر های خاص استفاده کنید: استفاده از انواع کاراکتر ها نیز حدس زدن کلمه عبور brute-force را دشوارتر می کند، زیرا این بدان معنی است که هکرها باید گزینه های متنوعی برای هر کاراکتر رمز را امتحان کنند. اعداد و کاراکتر های خاص را در آنها بگنجانید و نه فقط در انتهای رمز عبور یا به عنوان یک حرف جایگزین (مانند @ برای a).
تنوع در پسوردها: حملات مربوط به پسورد از ربات ها برای تست اینکه آیا گذرواژه های سرقت شده از یک حساب آنلاین برای حساب های دیگر نیز استفاده می شود یا خیر استفاده می کنند. در صورت استفاده از اکانت های یکسان ، نقض داده ها در یک شرکت کوچک می تواند یک حساب بانکی را به خطر بیندازد. برای همه حساب های آنلاین از یک رمز عبور طولانی، تصادفی و منحصر به فرد استفاده کنید.
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.