Video: Apple wachtwoord vergeten, en toch inloggen! 2024
High-tech wachtwoordhacking houdt in dat u een programma gebruikt dat probeert een wachtwoord te raden door alle mogelijke wachtwoordcombinaties te bepalen. Deze hoogtechnologische methoden worden meestal geautomatiseerd nadat u toegang hebt tot de databasebestanden van de computer en het wachtwoord.
U kunt proberen het besturingssysteem en de applicatiewachtwoorden van uw organisatie te kraken met verschillende hulpprogramma's voor het kraken van wachtwoorden:
-
Brutus kraakt aanmeldingen voor HTTP, FTP, telnet en meer.
-
Cain en Abel kraken LM en NT LanManager (NTLM) hashes, Windows RDP-wachtwoorden, Cisco IOS en PIX hashes, VNC-wachtwoorden, RADIUS-hashes en nog veel meer. (hash zijn cryptografische weergaven van wachtwoorden.)
-
Elcomsoft Distributed Password Recovery kraakt Windows, Microsoft Office, PGP, Adobe, iTunes en tal van andere wachtwoorden op een gedistribueerde manier met maximaal 10, 000 netwerkcomputers tegelijkertijd. Bovendien gebruikt deze tool dezelfde GPU-videoversnelling als de Elcomsoft Wireless Auditor-tool, waarmee scheursnelheden tot 50 keer sneller kunnen worden bereikt.
-
Elcomsoft systeemherstel scheurt of herstelt Windows-gebruikerswachtwoorden, stelt beheerdersrechten in en stelt wachtwoordvervalsingen opnieuw in vanaf een opstartbare CD.
-
John the Ripper kraakt hashed Linux / UNIX en Windows-wachtwoorden.
-
ophcrack kraakt Windows-gebruikerswachtwoorden met behulp van rainbow-tabellen van een opstartbare CD. Rainbow-tabellen zijn vooraf berekende wachtwoordhashes die kunnen helpen het kraakproces te versnellen. Bekijk de zijbalk in de buurt & ldquo; Een case study over Windows-wachtwoordkwetsbaarheden met Dr. Philippe Oechslin & rdquo; voor meer informatie.
-
Proactieve wachtwoordauditor voert brute-force-, woordenboek- en regenboogscheuren uit tegen uitgepakte LM- en NTLM-wachtwoordhashes.
-
Proactive System Password Recovery herstelt praktisch elk lokaal opgeslagen Windows-wachtwoord, zoals aanmeldingswachtwoorden, WEP / WPA-wachtzinnen, SYSKEY-wachtwoorden en RAS / dialup / VPN-wachtwoorden.
-
pwdump3 haalt Windows-wachtwoordhulsen uit de SAM (Security Accounts Manager) -database.
-
RainbowCrack kraakt LanManager (LM) en MD5 hashes heel snel door regenboogtabellen te gebruiken.
-
THC-Hydra kraakt aanmeldingen voor HTTP, FTP, IMAP, SMTP, VNC en nog veel meer.
Sommige van deze hulpprogramma's vereisen fysieke toegang tot de systemen die u test. U vraagt zich misschien af welke waarde dit toevoegt aan het kraken van het wachtwoord. Als een hacker fysieke toegang tot uw systemen en wachtwoordbestanden kan krijgen, hebt u meer dan alleen basisproblemen met de informatiebeveiliging om u zorgen over te maken, toch?
Dat is waar, maar dit soort toegang is heel goed mogelijk! Hoe zit het met een stagiair, een ontevreden werknemer of een externe auditor met kwaadaardige bedoelingen? Het enkele risico dat een niet-versleutelde laptop verloren gaat of wordt gestolen en in de handen valt van iemand met een slechte bedoeling, zou reden genoeg moeten zijn.
Om te begrijpen hoe de voorgaande programma's voor het kraken van programma's over het algemeen werken, moet u eerst begrijpen hoe wachtwoorden worden gecodeerd. Wachtwoorden worden meestal gecodeerd wanneer ze worden opgeslagen op een computer, met behulp van een codering of eenrichtings hash-algoritme, zoals DES of MD5. Gehashte wachtwoorden worden vervolgens weergegeven als gecodeerde reeksen met een vaste lengte die altijd dezelfde wachtwoorden vertegenwoordigen met exact dezelfde tekenreeksen.
Deze hashes zijn onherroepelijk voor alle praktische doeleinden, dus in theorie kunnen wachtwoorden nooit worden gedecodeerd. Verder hebben bepaalde wachtwoorden, zoals die in Linux, een willekeurige waarde die een zout wordt toegevoegd om een mate van willekeurigheid te creëren. Hiermee wordt voorkomen dat hetzelfde wachtwoord dat door twee mensen wordt gebruikt, dezelfde hash-waarde heeft.
Hulpprogramma's voor het kraken van wachtwoorden nemen een reeks bekende wachtwoorden en voeren deze uit met behulp van een algoritme voor wachtwoordhashing. De resulterende versleutelde hashes worden vervolgens razendsnel vergeleken met de wachtwoordhashes die uit de oorspronkelijke wachtwoorddatabase zijn geëxtraheerd. Wanneer een overeenkomst wordt gevonden tussen de nieuw gegenereerde hash en de hash in de oorspronkelijke database, is het wachtwoord gekraakt. Het is zo simpel.
Andere programma's voor het kraken van programma's proberen eenvoudigweg in te loggen met een vooraf gedefinieerde set gebruikers-ID's en wachtwoorden. Dit is het aantal crack-tools dat op woordenboekbasis werkt, zoals Brutus en SQLPing3.
Wachtwoorden die worden onderworpen aan kraakgereedschappen, verliezen uiteindelijk. Je hebt toegang tot dezelfde tools als de slechteriken. Deze hulpprogramma's kunnen worden gebruikt voor zowel legitieme beveiligingsbeoordelingen als kwaadwillende aanvallen. U wilt wachtwoordgebreken vinden voordat de slechteriken het doen.
Wanneer u probeert wachtwoorden te kraken, zijn de bijbehorende gebruikersaccounts mogelijk geblokkeerd, waardoor uw gebruikers mogelijk worden onderbroken. Wees voorzichtig als indringersblokkering is ingeschakeld in uw besturingssystemen, databases of toepassingen. Als de vergrendeling is ingeschakeld, kunt u enkele of alle computer- / netwerkaccounts uitsluiten, waardoor de denial of service voor uw gebruikers verloren gaat.
Wachtwoordopslaglocaties verschillen per besturingssysteem:
-
Windows bewaart meestal wachtwoorden op deze locaties:
-
SAM (Security Accounts Manager) -bestand (c: winntsystem32config) of (c: windowssystem32config)
-
Active Directory-databasebestand dat is lokaal opgeslagen of verspreid over domeincontrollers (ntds. dit)
Windows kan ook wachtwoorden opslaan in een back-up van het SAM-bestand in de map c: winntrepair of c: windowsrepair.
Sommige Windows-applicaties slaan wachtwoorden op in het register of als platte-tekstbestanden op de harde schijf! Een eenvoudig register of bestandssysteem zoeken naar & ldquo; password & rdquo; kan onthullen wat u precies zoekt.
-
-
Linux en andere UNIX-varianten slaan meestal wachtwoorden op in deze bestanden:
-
/ etc / passwd (leesbaar voor iedereen)
-
/ etc / shadow (alleen toegankelijk voor het systeem en de root-account)
-
/ etc / security / passwd (alleen toegankelijk via het systeem en het root-account)
-
/.secure / etc / passwd (alleen toegankelijk via het systeem en de root-account)
-