Índice:
Vídeo: Quebrando criptografia WPA/WPA2 - Wifite+Hashcat 2024
O cracking de senha de alta tecnologia é um tipo de hacking que envolve o uso de programas que adivinham uma senha, determinando todas as possíveis combinações de senhas. Os principais métodos de craqueamento de senha são ataques de dicionário, ataques de força bruta e ataques de arco-íris.
Os ataques do dicionário
Os ataques do dicionário comparam rapidamente um conjunto de palavras conhecidas do tipo de dicionário - incluindo muitas senhas comuns - contra uma base de dados de senhas. Este banco de dados é um arquivo de texto com centenas, se não milhares de palavras de dicionário tipicamente listadas em ordem alfabética.
Por exemplo, suponha que você tenha um arquivo de dicionário que você baixou de um dos sites na lista a seguir. O arquivo de dicionário em inglês no site Purdue contém uma palavra por linha que começa com 10, 1 … todo o caminho para zygote.
Muitos utilitários de cracking de senha podem usar um dicionário separado que você cria ou faça o download da Internet. Aqui estão alguns sites populares que abriga arquivos de dicionário e outras listas de palavras diversas:
-
ftp: // ftp. cerias. purdue. edu / pub / dict
-
www. outpost9. com / files / WordLists. html
Não se esqueça de usar outros arquivos de idiomas, como o espanhol e o Klingon.
Os ataques do dicionário são tão bons quanto os arquivos de dicionário que você fornece ao seu programa de cracking de senha. Você pode facilmente passar dias, mesmo semanas, tentando quebrar senhas com um ataque de dicionário. Se você não definir um limite de tempo ou expectativa semelhante, você provavelmente achará que o craqueamento do dicionário é muitas vezes um mero exercício na futilidade. A maioria dos ataques de dicionário são bons para as senhas fracas (facilmente adivinhadas).
No entanto, alguns dicionários especiais têm erros ortográficos comuns ou ortografia alternativa de palavras, como pa $$ w0rd (senha) e 5ecur1ty (segurança). Além disso, os dicionários especiais podem conter palavras não inglesas e palavras temáticas de religiões, políticas ou Star Trek .
ataques de força bruta
ataques de força bruta podem quebrar praticamente qualquer senha, com tempo suficiente. Os ataques de força bruta tentam cada combinação de números, letras e caracteres especiais até que a senha seja descoberta. Muitos utilitários de cracking de senha permitem especificar critérios de teste como os conjuntos de caracteres, o comprimento da senha para tentar e os caracteres conhecidos (para um ataque de "máscara").
Um teste de força bruta pode levar bastante tempo, dependendo do número de contas, das complexidades de senhas associadas e da velocidade do computador que está executando o software de cracking.Tão poderoso quanto o teste de força bruta pode ser, literalmente, pode levar uma eternidade para esgotar todas as possíveis combinações de senhas, o que na realidade não é prático em todas as situações.
Os hackers inteligentes tentam iniciar sessão lentamente ou em tempos aleatórios, de modo que as tentativas falhadas não são tão óbvias nos arquivos de log do sistema. Alguns usuários mal-intencionados podem até chamar o suporte técnico de TI para tentar uma reinicialização da conta que eles apenas bloquearam. Esta técnica de engenharia social pode ser uma questão importante, especialmente se a organização não possui mecanismos para verificar se os usuários são quem eles dizem que são.
Uma senha que expira pode deter um ataque de hacker e tornar o software de cracking de senha inútil? Sim. Depois que a senha for alterada, o cracking deve começar novamente se o hacker quiser testar todas as combinações possíveis.
Esta é uma das razões pelas quais é uma boa idéia mudar as senhas periodicamente. Ajustar o intervalo de mudança pode reduzir o risco de que as senhas sejam quebradas, mas também podem ser politicamente desfavoráveis no seu negócio. Você deve encontrar um equilíbrio entre segurança e conveniência / usabilidade. Consulte o documento da Diretoria de Gerenciamento de Senha do Departamento de Defesa dos Estados Unidos para obter mais informações sobre este tópico.
Exaustas tentativas de quebra de senha normalmente não são necessárias. A maioria das senhas é bastante fraca. Mesmo os requisitos mínimos de senha, como o comprimento de uma senha, podem ajudá-lo no teste. Você pode descobrir informações de política de segurança usando outras ferramentas ou através do seu navegador. Se você encontrar essa informação de política de senha, você pode configurar seus programas de cracking com parâmetros de cracking mais bem definidos, que geralmente geram resultados mais rápidos.
ataques do arco-íris
Um ataque de senha do arco-íris usa rachaduras no arco-íris para quebrar vários hashes de senha para LM, NTLM, Cisco PIX e MD5 muito mais rapidamente e com taxas de sucesso extremamente altas (perto de 100%). A velocidade de quebra de senha é aumentada em um ataque de arco-íris porque os hashes são precalculados e, portanto, não precisam ser gerados individualmente de acordo com os métodos de queima de dicionário e de força bruta.
Ao contrário dos ataques de dicionário e de força bruta, os ataques de arco-íris não podem ser usados para rachar os hashes de senha de comprimento ilimitado. O comprimento máximo atual para hashes Microsoft LM é de 14 caracteres e o máximo é de até 16 caracteres (baseado em dicionário) para o Windows Vista e 7 hashes. As mesas do arco-íris estão disponíveis para compra e download através do site ophcrack.
Há uma limitação de comprimento porque leva significativo tempo para gerar essas tabelas de arco-íris. Dado tempo suficiente, será criado um número suficiente de tabelas. Claro, até então, computadores e aplicativos provavelmente terão diferentes mecanismos de autenticação e padrões de hashing - incluindo um novo conjunto de vulnerabilidades - para lidar com isso. A segurança do emprego para hackers éticos nunca deixa de crescer.
Se você tem um bom conjunto de tabelas arco íris, como as oferecidas através do site ophcrack e do Project RainbowCrack, você pode quebrar senhas em segundos, minutos ou horas em relação aos dias, semanas ou mesmo anos requeridos pelo dicionário e bruto - Força métodos.
