Table of Contents
Ir daudz veidu, kā uzlauzt kontu. Viens no tiem ir paroles uzlaušana, kas ietver dažādu skaitļošanas un citu metožu izmantošanu, lai uzlauztu paroles autentifikācijas soli. Mūsdienās ir pieejami pat specializēti paroļu uzlaušanas rīki, kas nav jāizmanto tikai ļaunprātīgiem mērķiem.
Lai nekļūtu par paroles uzlaušanas upuri, varat izmantot arī paroļu pārvaldības un ģenerēšanas rīkus. Tie šifrē paroles ar nepārspējamiem šifriem un palīdz izveidot praktiski nelaužamas paroles par makam draudzīgu cenu.
Tomēr šajā rakstā mēs apspriedīsim 8 paroles krekinga metodes. Turpiniet lasīt, lai uzzinātu, kas ir paroles uzlaušana un kā to veic.
Kas ir paroles krekings?
Paroļu uzlaušana ir paroļu atgūšana no datora vai datora pārraidītajiem datiem. Tai nav jābūt sarežģītai metodei. Par paroles uzlaušanu uzskatāms arī uzbrukums ar brutālu spēku, kad tiek pārbaudītas visas iespējamās kombinācijas.
Ja parole tiek saglabāta atklātā teksta veidā, uzbrucējs, uzlaužot datubāzi, var iegūt visu konta informāciju. Tomēr tagad lielākā daļa paroļu tiek glabātas, izmantojot atslēgas atvasināšanas funkciju (KDF). Tā paņem paroli un pārbauda to, izmantojot vienvirziena šifrēšanas šifru, izveidojot tā saukto “hash”. Serverī tiek saglabāta paroles hash-versija.
Izmantojot GPU vai botnetu, ir viegli izmēģināt dažādas paroles ar lielu ātrumu. Tāpēc vairums paroļu šifrēšanas funkciju izmanto atslēgas izstiepšanas algoritmus, kas palielina resursus (un līdz ar to arī laiku), kas nepieciešami brutālam uzbrukumam.
Dažas paroles uzlaušanas metodes kļūst ievērojami sarežģītākas, ja parolē tiek izmantota sālīšana vai atslēgu izstiepšana. Diemžēl joprojām ir daži pakalpojumi, kas savos serveros glabā nešifrētas vai vāji šifrētas paroles.
Kā izveidot spēcīgu paroli?
- Izmantojiet garas paroļu kombinācijas, kurās ir vismaz 8 simboli.
- ietver lielos un mazos burtus, ciparus un simbolus.
- Izvairieties no paroļu atkārtotas izmantošanas
- Iegādājieties drošu paroļu pārvaldnieku, lai izveidotu drošas paroles.
8 populārākie hakeru izmantotie paroļu krekinga paņēmieni
Protams, hakeri vēlas izmantot visvieglāko pieejamo paroles uzlaušanas metodi. Visbiežāk šī metode ir pikšķerēšana, kas sīkāk aprakstīta tālāk. Kamēr cilvēks ir jebkuras drošības sistēmas vājākais posms, uz viņu vērsta darbība ir vislabākais risinājums. Ja tas neizdodas, ir daudz citu paroļu uzlaušanas metožu, ko izmēģināt.
Lai gan paroles ir ļoti populārs konta drošības rīks, tās ne vienmēr ir visdrošākais risinājums. Tas jo īpaši attiecas uz gadījumiem, kad lietotājs izveido vāju paroli, atkārtoti to izmanto un glabā tās kopiju atklātā tekstā kaut kur tiešsaistē. Tāpēc, izmantojot paroļu pārvaldnieku, biometriskos datus (kam arī ir savi mīnusi) vai pievienojot otru faktoru, vairums turpmāk minēto uzlaušanas metožu kļūs nelietderīgas.
Tipisks paroles uzlaušanas uzbrukums izskatās šādi:
- Saņemt paroles hashe
- Izvēlētā krekinga rīka hešu sagatavošana
- Izvēlieties krekinga metodoloģiju
- Palaidiet krekinga rīku
- Novērtēt rezultātus
- Ja nepieciešams, pielāgojiet uzbrukumu
- Pārejiet uz 2. posmu
Apspriedīsim populārākās paroļu krekinga metodes. Ir daudzi gadījumi, kad tās tiek kombinētas kopā, lai panāktu lielāku efektu.
1. Pikšķerēšana
Vispopulārākais pikšķerēšanas paņēmiens ir lietotāja vilināšana, lai viņš noklikšķinātu uz e-pasta pielikuma vai saites, kas satur ļaunprātīgu programmatūru. Šādas metodes parasti ietver kāda svarīga un oficiāli izskatīga e-pasta nosūtīšanu, kas brīdina rīkoties, pirms vēl nav par vēlu. Beigu beigās automātiski tiek instalēta paroles iegūšanas programmatūra vai lietotājs ievada sava konta datus līdzīgā tīmekļa vietnē.
Ir dažādi pikšķerēšanas veidi, kas pielāgoti konkrētai situācijai, tāpēc aplūkosim dažus izplatītākos:
- Pikšķerēšanas mērķis ir konkrēta persona, un pirms uzbrukuma tiek mēģināts savākt pēc iespējas vairāk personiskās informācijas.
- “Whaling” mērķauditorija ir augstākā līmeņa vadītāji, un tajā tiek izmantots uzņēmumam raksturīgs saturs, kas var būt klientu sūdzība vai akcionāra vēstule.
- Balss pikšķerēšana ietver viltotu bankas vai kādas citas iestādes ziņojumu, kurā lietotājs tiek aicināts zvanīt uz palīdzības tālruni un ievadīt sava konta datus.
2. Ļaunprātīga programmatūra
Kā jau redzējāt, ļaunprātīga programmatūra bieži ir arī daļa no pikšķerēšanas metodes. Tomēr tā var darboties arī bez “sociālās inženierijas” faktora, ja lietotājs ir pietiekami naivs (parasti viņš tāds ir). Divi no visbiežāk sastopamākajiem ļaunprogrammatūras veidiem paroļu zādzībai ir taustiņuzskaņotāji un ekrāna skrāpētāji. Kā liecina to nosaukumi, pirmais no tiem hakerim nosūta visus jūsu taustiņu nospiedumus, bet otrais augšupielādē ekrānšāviņus.
Paroļu zādzībai var izmantot arī cita veida ļaunprātīgu programmatūru. Aizmugurējo durvju Trojas zirgs var piešķirt pilnīgu piekļuvi lietotāja datoram, un tas var notikt pat tad, ja tiek instalēta tā sauktā pelēkā programmatūra. Šīs programmas, kas pazīstamas arī kā potenciāli nevēlamas lietojumprogrammas, parasti instalējas pēc nepareizas pogas “Lejupielādēt” nospiešanas kādā tīmekļa vietnē. Lai gan lielākā daļa no tām parāda reklāmas vai pārdod jūsu tīmekļa lietošanas datus, dažas var instalēt daudz bīstamāku programmatūru.
3. Sociālā inženierija
Šis paroles uzlaušanas paņēmiens ir balstīts uz lētticību, un tajā var izmantot vai neizmantot sarežģītu programmatūru vai aparatūru – pikšķerēšana ir sociālās inženierijas shēmas veids.
Tehnoloģijas ir revolucionizējušas sociālo inženieriju. 2019. gadā hakeri izmantoja mākslīgo intelektu un balss tehnoloģiju, lai uzdotos par uzņēmuma īpašnieku un apmānītu izpilddirektoru, lai pārskaitītu 243 000 ASV dolāru. Šis uzbrukums parādīja, ka balss viltošana vairs nav nākotne, un video imitācija kļūs par ikdienišķu parādību ātrāk, nekā jūs domājat.
Parasti uzbrucējs sazinās ar upuri, maskējoties par kādas iestādes pārstāvi, un cenšas iegūt pēc iespējas vairāk personiskās informācijas. Pastāv arī iespēja, ka, uzdodoties par bankas vai Google pārstāvi, viņš var uzreiz iegūt paroli vai kredītkartes informāciju. Pretēji citām metodēm sociālā inženierija var notikt bezsaistē, piezvanot vai pat personīgi tiekoties ar upuri.
4. Brute force uzbrukums
Ja viss pārējais neizdodas, paroļu uzlauzējiem kā pēdējais līdzeklis ir brutālā spēka uzbrukums. Tas būtībā nozīmē, ka tiek izmēģinātas visas iespējamās kombinācijas, līdz tiek laimēts džekpots. Tomēr paroļu uzlaušanas rīki ļauj šo uzbrukumu modificēt un ievērojami samazināt laiku, kas nepieciešams, lai pārbaudītu visus variantus. Arī šajā gadījumā lietotājs un viņa paradumi ir vājie posmi.
Ja uzbrucējam ir izdevies uzspiest paroli ar brutālu spēku, viņš pieņems, ka parole ir izmantota atkārtoti, un mēģinās izmantot to pašu pieteikšanās datu kombināciju citos tiešsaistes pakalpojumos. Tas ir zināms kā pilnvaroto vārdu uzspiešana, un datu aizsardzības pārkāpumu laikmetā tas ir ļoti populārs.
5. Uzbrukums ar vārdnīcu
Vārdnīcas uzbrukums ir brutāla spēka uzbrukuma veids, un to bieži izmanto kopā ar citiem brutāla spēka uzbrukumu veidiem. Tā automātiski pārbauda, vai parole nav kāda bieži lietota frāze, piemēram, “iloveyou”, skatoties vārdnīcā. Uzbrucējs var pievienot arī paroles no citiem noplūdušiem kontiem. Šādā scenārijā veiksmīga vārdnīcas uzbrukuma iespējamība ievērojami palielinās.
Ja lietotāji izvēlētos spēcīgas paroles, kas satur ne tikai vienu vārdu, šādi uzbrukumi ātri vien kļūtu par vienkāršu brutāla spēka uzbrukumu. Ja izmantojat paroļu pārvaldnieku, tad vislabākā izvēle ir ģenerēt nejaušu simbolu kopumu. Savukārt, ja neizmantojat, lieliska ir arī gara frāze, kas sastāv no vismaz pieciem vārdiem. Tikai neaizmirstiet to atkārtoti izmantot katram kontam.
6. Spidering
Spaiderēšana ir papildu paroles uzlaušanas paņēmiens, kas palīdz veikt iepriekš minētos brutālā spēka un vārdnīcas uzbrukumus. Tā ietver informācijas vākšanu par upuri, parasti uzņēmumu, un tiek pieņemts, ka tas izmanto daļu no šīs informācijas paroles izveidei. Mērķis ir izveidot vārdu sarakstu, kas palīdzētu ātrāk uzminēt paroli.
Pārbaudot uzņēmuma tīmekļa vietni, sociālos medijus un citus avotus, var iegūt šādu informāciju:
- Dibinātāja vārds – Mark Zuckerberg
- Dibinātāja DOB – 1984 05 14
- Dibinātāja māsa – Randi
- Dibinātāja otra māsa – Donna
- Uzņēmuma nosaukums – Facebook
- Galvenā mītne – Menlo Park
- Uzņēmuma misija – Sniegt cilvēkiem iespēju veidot kopienu un tuvināt pasauli.
Tagad viss, kas jums jādara, ir augšupielādēt to pareizā paroles krekinga rīkā un izmantot priekšrocības.
7. Guessing
Lai gan uzminēšana nebūt nav vispopulārākais paroles uzlaušanas paņēmiens, tas ir saistīts ar iepriekš minēto uz uzņēmējdarbību orientēto spaidošanu. Dažkārt uzbrucējam pat nav nepieciešams vākt informāciju par upuri, jo pietiek izmēģināt dažas no populārākajām paroļu frāzēm. Ja atceraties, ka izmantojat vienu vai vairākas no turpmāk sniegtajā sarakstā minētajām patētiskajām parolēm, noteikti iesakām tās tagad nomainīt.
Dažas no pasaulē izplatītākajām parolēm:
- 123456
- 123456789
- qwerty
- parole
- 12345
- qwerty123
- 1q2w3e
- 12345678
- 111111
- 1234567890
Lai gan to cilvēku skaits, kuri izmanto vienkāršas vai noklusējuma paroles, piemēram, “password”, “qwerty” vai “123456”, arvien samazinās, daudzi joprojām mīl vienkāršas un viegli iegaumējamas frāzes. Tās bieži vien ir mājdzīvnieku, mīluļu, mīluļu mīļotāju, bijušo mājdzīvnieku vārdi vai kaut kas, kas saistīts ar konkrēto pakalpojumu, piemēram, tā nosaukums (ar mazajiem burtiem).
8. Varavīksnes galda uzbrukums
Kā minēts iepriekš, viena no pirmajām lietām, kas jāveic, uzlaužot paroli, ir iegūt paroli hash veidā. Pēc tam izveidojiet biežāk sastopamo paroļu un to hešēto versiju tabulu un pārbaudiet, vai parole, kuru vēlaties uzlauzt, atbilst kādam no ierakstiem. Pieredzējušiem hakeriem parasti ir pieejama varavīksnes tabula, kas ietver arī noplūdušas un iepriekš uzlauztas paroles, tādējādi padarot to efektīvāku.
Visbiežāk varavīksnes tabulās ir iekļautas visas iespējamās paroles, tāpēc tās ir ārkārtīgi lielas un aizņem simtiem GB. No otras puses, tās padara faktisko uzbrukumu ātrāku, jo lielākā daļa datu jau ir pieejami, un jums tikai jāsalīdzina tie ar mērķtiecīgo hash paroli. Par laimi, lielākā daļa lietotāju var sevi pasargāt no šādiem uzbrukumiem, izmantojot lielus sāļus un atslēgu izstiepšanu, jo īpaši, ja tiek izmantoti abi šie veidi.
Ja sāls ir pietiekami liela, piemēram, 128 bitu, diviem lietotājiem ar vienu un to pašu paroli būs unikālas hashes. Tas nozīmē, ka visu sāļu tabulu ģenerēšana aizņems astronomiski daudz laika. Attiecībā uz atslēgas izstiepšanu tas palielina hashēšanas laiku un ierobežo mēģinājumu skaitu, ko uzbrucējs var veikt noteiktā laikā.
Paroļu krekinga rīki
Neviena paroles krekinga nesākas bez atbilstošiem rīkiem. Ja jums ir jāatmin no miljardiem kombināciju, skaitļošanas palīdzība ir vairāk nekā apsveicama. Kā vienmēr, katram rīkam ir savi plusi un mīnusi.
Šeit ir saraksts ar populārākajiem paroļu krekinga rīkiem, kas nav īpaši sakārtoti.
1. Džons Izkrāpējs
John the Ripper ir bezmaksas atvērtā koda lietojumprogramma, kas balstīta uz komandām un iekļauta daudzos populāru paroļu krekinga rīku sarakstos. Tā ir pieejama operētājsistēmām Linux un macOS, savukārt Windows un Android lietotājiem ir pieejams Hash Suite, ko izstrādājis kāds līdzstrādnieks.
John the Ripper atbalsta plašu sarakstu ar dažādiem šifru un šifrēšanas tipiem. Daži no tiem ir šādi:
- Unix, macOS un Windows lietotāju paroles
- Tīmekļa lietojumprogrammas
- Datu bāzu serveri
- Tīkla datplūsmas uztveršana
- Šifrētas privātās atslēgas
- Diski un failu sistēmas
- Arhīvi
- Dokumenti
Ir pieejama arī Pro versija ar papildu funkcijām un atbalstītajām OS paredzētajām pakotnēm. Pārdošanā tiek pārdoti paroļu uzlaušanā izmantotie vārdu saraksti, taču ir pieejamas arī bezmaksas iespējas.
2. Kains un Ābels
Cain & Abel ir vēl viens populārs paroļu krekinga rīks, kas no oficiālā avota lejupielādēts gandrīz 2 miljonus reižu. Taču atšķirībā no John the Ripper tas izmanto GUI, padarot to uzreiz ērtāku lietotājam. Tas, kā arī fakts, ka tas ir pieejams tikai operētājsistēmā Windows, padara Cain & Abel par rīku, ko izmanto amatieri, dēvēti arī par “script kiddies”.
Šis ir daudzfunkcionāls rīks, kas spēj veikt daudzas dažādas funkcijas. Cain & Abel var darboties kā pakešu analizators, ierakstīt VoIP, analizēt maršrutēšanas protokolus vai skenēt bezvadu tīklus un iegūt to MAC adreses. Ja jums jau ir hash, šis rīks piedāvās vārdnīcas vai brutāla spēka uzbrukuma iespēju. Cain & Abel var arī parādīt paroles, kas slēpjas zem zvaigznītēm.
3. Ophcrack
Ophcrack ir bezmaksas atklātā pirmkoda paroļu krekinga rīks, kas specializējas uzbrukumos ar varavīksnes tabulu. Precīzāk, tas uzlauž LM un NTLM hešus, kur pirmais attiecas uz Windows XP un agrākām operētājsistēmām, bet otrais – uz Windows Vista un 7. NTLM zināmā mērā ir pieejams arī Linux un freeBSD. Abi šie šifrēšanas veidi ir nedroši – ar ātru datoru NTLM šifru ir iespējams uzlauzt mazāk nekā 3 stundās.
Kā redzams iepriekš redzamajā ekrānšāviņas attēlā, Ophcrack vajadzēja tikai sešas sekundes, lai uzlauztu 8 simbolu paroli, izmantojot varavīksnes tabulu, kurā iekļauti burti, cipari un lielie burti. Tas ir pat vairāk mainīgo lielumu, nekā parasti ir vispārpieņemtajās parolēs.
Šis rīks ir aprīkots ar bezmaksas Windows XP/Vista/7 varavīksnes tabulām un brutāla spēka uzbrukuma funkciju vienkāršām parolēm. Ophcrack ir pieejams operētājsistēmās Windows, macOS un Linux.
4. THC Hydra
Iespējams, THC Hydra spēcīgākais aspekts ir nevis iespējamais galvu skaits, ko tā var izaudzēt, bet gan to protokolu skaits, kurus tā atbalsta, kas, šķiet, arī pieaug! Tas ir atvērtā koda tīkla pieteikšanās paroļu uzlaušanas rīks, kas darbojas ar Cisco AAA, FTP, HTTP-Proxy, IMAP, MySQL, Oracle SID, SMTP, SOCKS5, SSH un Telnet, lai minētu tikai dažus no tiem.
THC Hydra pieejamās metodes ietver brutālā spēka un vārdnīcas uzbrukumus, kā arī citu rīku ģenerēto vārdu sarakstu izmantošanu. Šis paroļu krekinga rīks ir pazīstams ar savu ātrumu, pateicoties vairāku pavedienu kombināciju testēšanai. Tas pat var vienlaicīgi veikt pārbaudes dažādos protokolos. THC Hydra ir pieejama operētājsistēmās Windows, macOS un Linux.
5. Hashcat
Hashcat ir bezmaksas atvērtā koda rīks, kas ir pieejams operētājsistēmās Windows, macOS un Linux un pozicionē sevi kā pasaulē ātrāko paroļu krekinga rīku. Tas piedāvā vairākus paņēmienus, sākot ar vienkāršu brutāla spēka uzbrukumu un beidzot ar hibrīdmasku ar vārdu sarakstu.
Hashcat var izmantot gan jūsu CPU, gan GPU, pat vienlaicīgi. Tādējādi vairāku hešu krekings vienlaicīgi ir daudz ātrāks. Taču šis rīks ir patiesi universāls, jo tas piedāvā vairākus atbalstītos hash tipus. Hashcat var atšifrēt MD5, SHA3-512, ChaCha20, PBKDF2, Kerberos 5, 1Password, LastPass, KeePass un daudzus citus. Patiesībā tā atbalsta vairāk nekā 300 hash tipus.
Taču, pirms sākat krekinga darbību, vispirms ir nepieciešams paroles hash. Šeit ir daži no populārākajiem rīkiem, kas ļauj iegūt hash:
- Mimikatz. Mimikatz ir pazīstama kā paroļu audita un atgūšanas programma, taču to var izmantot arī ļaunprātīgai hash atgūšanai. Patiesībā tā var iegūt arī vienkāršā teksta paroles vai PIN kodus.
- Wireshark. Wireshark ļauj veikt pakešu sniffēšanu. Tas ir godalgots pakešu analizators, ko izmanto ne tikai hakeri, bet arī uzņēmumi un valsts iestādes.
- Metasploit. Tā ir populāra iekļūšanas testēšanas sistēma. Metasploit ir izstrādāta drošības profesionāļiem, taču hakeri to var izmantot arī paroļu hashe iegūšanai.
Kā izveidot spēcīgu paroli?
Neatkarīgi no tā, cik laba ir jūsu atmiņa vai paroļu pārvaldnieks, labas paroles nesagatavošana novedīs pie nevēlamām sekām. Kā jau tika minēts šajā rakstā, paroļu uzlaušanas rīki vājas paroles var atšifrēt dažu dienu vai pat stundu laikā. Tāpēc uzskatām par savu pienākumu atgādināt dažus galvenos padomus, kā izveidot spēcīgu paroli:
- Garums. Kā tas bieži vien ir, garums ir vissvarīgākais faktors.
- Kombinējiet burtus, ciparus un īpašās rakstzīmes. Tas ievērojami palielina iespējamo kombināciju skaitu.
- Neizmantojiet atkārtoti. Pat ja teorētiski jūsu parole ir droša, atkārtota tās izmantošana jūs padarīs neaizsargātu.
- Izvairieties no viegli uzminamām frāzēm. Vārds, kas ir iekļauts vārdnīcā, uz jūsu mājdzīvnieka apkakles vai uz jūsu numura zīmes, ir liels NĒ.
Ja vēlaties uzzināt vairāk par labu paroļu izveidi, skatiet mūsu rakstu Kā izveidot spēcīgu paroli. Varat arī izmēģināt mūsu paroļu ģeneratoru, kas palīdzēs jums izveidot drošas paroles.
Cybernews profesionāļu padoms
Ja nejūtaties pietiekami pārliecināts par vairāku spēcīgu paroļu izveidošanu, iegādājoties paroļu pārvaldnieku, piemēram, NordPass, par to vairs nebūs jāuztraucas. NordPass ģenerē nesatricināmas paroles un izmanto militārās klases šifrēšanu!
Vai paroles uzlaušana ir nelikumīga?
Uz šo jautājumu nav skaidras atbildes. Pirmkārt, visi iepriekš aprakstītie paroļu uzlaušanas rīki ir pilnīgi likumīgi. Tas ir tāpēc, ka tiem ir būtiska nozīme ievainojamību pārbaudē un tie var arī palīdzēt atgūt pazaudētu paroli. Turklāt šādi rīki palīdz tiesībaizsardzības iestādēm apkarot noziedzību. Tātad, kā tas bieži vien ir, paroļu uzlaušana var palīdzēt gan labiem, gan ļauniem mērķiem.
Attiecībā uz paroles uzlaušanu kā darbību tas ir atkarīgs no diviem faktoriem. Pirmkārt, hakerim nav pilnvaru piekļūt konkrētajiem datiem. Otrkārt, mērķis ir nozagt, sabojāt vai citādi ļaunprātīgi izmantot datus. Pat ja ir tikai viens no šiem faktoriem, hakeris, visticamāk, saņems sodu, sākot no naudas soda līdz pat vairāku gadu cietumsodam.
Rezumējot, ja nav atlīdzības par kļūdas, nav vienošanās veikt iekļūšanas testēšanu un nav lūguma palīdzēt atgūt pazaudētu paroli, krekings ir nelikumīgs.
Apakšējā līnija
Paroles uzlauzšana ir vienkāršāka, nekā lielākā daļa lietotāju domā. Ir daudz bezmaksas rīku, un daži no tiem ir pietiekami vienkārši pat iesācējiem. Ir arī vairāk nekā viena paroles uzlaušanas tehnika, ko izmēģināt. Sākot ar vienkāršu brutāla spēka uzbrukumu un pārejot uz sarežģītām metodēm, kas apvieno dažādas tehnikas, paroļu laušana attīstās katru dienu.
Labākā aizsardzība pret paroles uzlaušanu ir spēcīgas paroles lietošana. Izmantojot pietiekami daudz simbolu un dažādu rakstzīmju, pat visātrākais dators nespēs uzlauzt jūsu kontu šajā dzīves laikā. Tā kā vairāku spēcīgu paroļu atcerēšanās ir maz ticama, vislabākais risinājums ir izmantot uzticamu paroļu pārvaldnieku. Divu faktoru autentifikācija joprojām ir sāpīga jebkuram hakerim, tāpēc, pievienojot pirksta vai sejas identifikatoru, jūsu dati būs drošībā vismaz tuvākajā nākotnē.