Como descobrir senhas ou tecnicamente, como quebrar senhas é o processo de tentar obter acesso não autorizado a sistemas restritos usando senhas comuns ou algoritmos de adivinhação de senha. Em outras palavras, é a arte de descriptografar senhas corretas que dá acesso a um sistema protegido por um método de autenticação.
A quebra de senha emprega uma série de técnicas para atingir seus objetivos. O processo de cracking pode envolver a comparação das senhas armazenadas com a lista de palavras ou o uso de algoritmos para gerar senhas correspondentes.
Neste tutorial, apresentaremos técnicas comuns sobre como encontrar senhas e as contramedidas que você pode implementar para proteger os sistemas desses ataques.
Como descobrir senhas, indexar
- O que é segurança de senha?
- Técnicas de quebra de senha
- Programas para encontrar senhas
- Contramedidas para evitar que senhas sejam hackeadas
- Como descobrir uma senha
O que é segurança de senha?
A força da senha é uma medida da eficácia de uma senha em resistir a ataques de quebra de senha. A força de uma senha é determinada por;
- Comprimento: o número de caracteres contidos na senha.
- Complexidade: Usa uma combinação de letras, números e símbolos?
- imprevisibilidade: é algo que pode ser facilmente adivinhado em um ataque?
Vejamos agora um exemplo prático. Usaremos três senhas, a saber
- senha
- password1
- #senha1$
Para este exemplo, usaremos o indicador de segurança de senha do Cpanel ao criar senhas. As imagens a seguir mostram a força das senhas de cada uma das senhas listadas acima.
Nota: a senha usada é a palavra senha, a força é 1 e é muito fraca.
Nota: a senha usada é password1, a força é 28 e ainda é fraca.
Nota: a senha usada é # password1 $, a força é 60 e é forte.
Quanto maior o número de segurança, melhor a senha.
Suponha que precisamos armazenar nossas senhas acima usando criptografia md5. Usaremos um gerador de hash md5 online para converter nossas senhas em hashes md5.
A tabela abaixo mostra os hashes de senha
| Senha | Hash MD5 | Indicador de força do painel |
|---|---|---|
| senha | 5f4dcc3b5aa765d61d8327deb882cf99 | 1 |
| Senha 1 | 7c6a180b36896a0a8c02787eeafb0e4c | 28 |
| #senha1$ | 29e08fb7103c327d68327f23d8d9256c | 60 |
Agora usaremos http://www.md5this.com/ para quebrar os hashes acima. As imagens a seguir mostram os resultados da quebra de senha para senhas anteriores.
Como você pode ver nos resultados acima, conseguimos quebrar a primeira e a segunda senha que tinham números de segurança mais baixos. Não conseguimos decifrar a terceira senha que era mais longa, mais complexa e imprevisível. Ele tinha um número de força maior.
Técnicas de quebra de senha
São numerosos técnicas que podem ser usadas para quebrar senhas. Descreveremos os mais usados a seguir;
- Ataque de dicionário- Este método envolve o uso de uma lista de palavras para comparar com as senhas dos usuários.
- Ataque de força bruta: Este método é semelhante ao ataque de dicionário. Os ataques de força bruta usam algoritmos que combinam caracteres alfanuméricos e símbolos para criar senhas para o ataque. Por exemplo, uma senha com o valor “password” também pode ser tentada como a palavra p @ $$ usando o ataque de força bruta.
- Ataque da mesa arco-íris: este método usa hashes pré-computados. Suponha que tenhamos um banco de dados que armazena senhas como hashes md5. Podemos criar outro banco de dados que tenha hashes md5 de senhas comumente usadas. Podemos então comparar o hash de senha que temos com os hashes armazenados no banco de dados. Se uma correspondência for encontrada, então temos a senha.
- Acho: como o nome sugere, esse método envolve adivinhação. Senhas como qwerty, senha, admin, etc. Eles são comumente usados ou definidos como senhas padrão. Se elas não foram alteradas ou se o usuário for descuidado na escolha das senhas, elas podem ser facilmente comprometidas.
- Aranha- A maioria das organizações usa senhas que contêm informações da empresa. Essas informações podem ser encontradas nos sites da empresa, redes sociais como Facebook, Twitter, etc. O Spidering reúne informações dessas fontes para criar listas de palavras. A lista de palavras é então usada para executar ataques de dicionário e de força bruta.
Lista de palavras de ataque de dicionário de exemplo de Spidering
1976
Smith Jones
acme
construído | para | para durar
golfe | xadrez | futebol americano
Programas encontram senhas
Estes são programas de software usados para encontrar senhas de usuários. Já vimos uma ferramenta semelhante no exemplo anterior sobre a força da senha. O site www.md5this.com usa uma tabela de arco-íris para quebrar senhas. Veremos agora algumas das ferramentas comumente usadas
1. Como encontrar a senha com John the Ripper
John the Ripper usa o prompt de comando para quebrar senhas. Isso o torna adequado para usuários avançados que estão familiarizados com os controles. Use uma lista de palavras para descobrir senhas. O programa é gratuito, mas você precisa comprar a lista de palavras. Tem listas de palavras alternativas gratuitas que você pode usar. Visite o site do produto https://www.openwall.com/john/ para obter mais informações e como usá-lo.
2. Programa de busca de senhas Cain & Abel
Cain & Abel é executado no Windows. É usado para encontrar senha para conta de usuário, redefinição de senha do Microsoft Access; sniffing de rede, etc. Ao contrário de John the Ripper, Cain & Abel usa uma interface gráfica de usuário. É muito comum entre novatos e script kiddies devido à sua facilidade de uso. Visite o site do produto http://www.softpedia.com/get/Security/Decrypting-Decoding/Cain-and-Abel.shtml para obter mais informações e como usá-lo.
3. Como descobrir a senha com Ophcrack
Ophcrack é um cracker de senha do Windows multiplataforma que usa a tabela arco-íris para quebrar senhas. Funciona em Windows, Linux e Mac OS. Ele também possui um módulo para ataques de força bruta entre outros recursos. Visite o site do produto http://ophcrack.sourceforge.net/ para obter mais informações e como usá-lo.
Como não ter sua senha roubada
- Uma organização pode usar os seguintes métodos para reduzir as chances de senhas serem invadidas.
- Evite senhas curtas e facilmente previsíveis.
- Evite usar senhas com padrões previsíveis como 11552266.
- As senhas armazenadas no banco de dados devem sempre ser criptografadas.
- A maioria dos sistemas de cadastro possui indicadores de segurança de senha, as organizações devem adotar políticas que favoreçam números de segurança de senha altos.
Como encontrar senhas
Neste cenário prático, vamos criar uma conta do Windows com uma senha simples. O Windows usa hashes NTLM para criptografar senhas. Para fazer isso, usaremos a ferramenta cracker NTLM em Cain e Abel.
O cracker Cain e Abel pode ser usado para quebrar senhas usando;
- Ataque de dicionário
- Força bruta
- Criptoanálise
Usaremos o ataque de dicionário neste exemplo. Você precisará baixar a lista de palavras de ataque do dicionário aqui 10k-Most-Common.zip
Para esta demonstração, criamos uma conta chamada Conta com senha qwerty no Windows 7.
Como quebrar uma senha
- Apri Caim e Abel, você obterá a seguinte tela principal
- Certifique-se de que a aba do cracker esteja selecionada como mostrado acima
- Clique no botão Adicionar na barra de ferramentas.
- A seguinte caixa de diálogo aparecerá
- As contas de usuários locais serão exibidas da seguinte forma. Observe que os resultados mostrados serão contas de usuário em sua máquina local.
- Clique com o botão direito do mouse na conta que você deseja crackear. Para este tutorial, usaremos Account como a conta de usuário.
- A seguinte tela aparecerá
- Clique com o botão direito do mouse na seção do dicionário e selecione Adicionar à lista do menu como mostrado acima
- Navegue até o arquivo common.txt de mais de 10k que você acabou de baixar
- Clique no botão iniciar
- Se o usuário usou uma senha simples como qwerty, você poderá obter os seguintes resultados.
- NotaO tempo que leva para quebrar a senha depende da força da senha, complexidade e poder de processamento do seu computador.
- Se a senha não for quebrada usando um ataque de dicionário, você pode tentar ataques de força bruta ou criptoanálise.
conclusão
- A quebra de senha é a arte de recuperar senhas armazenadas ou transmitidas.
- A segurança da senha é determinada pelo comprimento, complexidade e imprevisibilidade de um valor de senha.
- Os programas de quebra de senha incluem ataques de dicionário, força bruta, rainbow table, spidering e cracking.
- As ferramentas de quebra de senha simplificam o processo quando você deseja descobrir senhas.
Leia também: Como hackear uma rede WiFi
Leitura:
- Como descobrir senhas de Wi-Fi, fácil
- O que é criptografia? Criptanálise, RC4, CrypTool
- Alterar a senha do WiFi, simples
- Gerenciadores de senhas, os 4 melhores
- Esqueci a senha do Wifi, como recuperá-la
