10 самых лучших инструментов для взлома паролей

Данная статья представлена исключительно в ознакомительных целях и не несет призыва к действию. Вся информация направлена на то, чтобы уберечь читателей от противозаконных действий.

Пароли - это наиболее часто используемый метод аутентификации пользователей. Пароли так популярны, потому что логика, лежащая в их основе, понятна людям, и разработчикам их относительно легко реализовать.

Однако пароли также могут создавать уязвимости в системе безопасности. Взломщики паролей предназначены для получения учетных данных, украденных в результате взлома данных или другого взлома, и извлечения из них паролей.

Что такое взлом пароля?

Хорошо продуманная система аутентификации на основе пароля не хранит фактический пароль пользователя. Это сильно упростило бы хакеру или злоумышленнику доступ ко всем учетным записям пользователей в системе.

Вместо этого системы аутентификации хранят хэш пароля, который является результатом отправки пароля - и случайного значения, называемого солью - через хеш-функцию. Хеш-функции предназначены для одностороннего действия, что означает, что очень сложно определить ввод, который дает данный вывод. Поскольку хеш-функции также являются детерминированными (это означает, что один и тот же ввод дает одинаковый вывод), сравнение двух хешей паролей (сохраненного и хеша пароля, предоставленного пользователем) почти так же хорошо, как сравнение реальных паролей.

Взлом паролей относится к процессу извлечения паролей из связанного хэша паролей. Этого можно добиться несколькими способами:

• Атака по словарю: большинство людей используют слабые и общие пароли. Взяв список слов и добавив несколько перестановок - например, замену $ на s - позволяет взломщику паролей очень быстро выучить множество паролей.
• Атака методом подбора пароля: существует ограниченное количество потенциальных паролей заданной длины. Несмотря на медленную скорость, атака полным перебором (перебор всех возможных комбинаций паролей) гарантирует, что злоумышленник в конечном итоге взломает пароль.
• Гибридная атака: гибридная атака смешивает эти два метода. Сначала он проверяет, можно ли взломать пароль с помощью атаки по словарю, а затем переходит к атаке методом перебора, если она не удалась.

Большинство инструментов для взлома паролей или поиска паролей позволяют хакеру выполнить любой из этих типов атак. В этом посте описаны некоторые из наиболее часто используемых инструментов для взлома паролей.

1. Hashcat

Hashcat - один из самых популярных и широко используемых взломщиков паролей. Он доступен во всех операционных системах и поддерживает более 300 различных типов хэшей.

Hashcat обеспечивает высокопараллельный взлом паролей с возможностью одновременного взлома нескольких разных паролей на нескольких разных устройствах и возможностью поддержки распределенной системы взлома хеш-кодов с помощью наложений. Крекинг оптимизирован за счет интегрированной настройки производительности и мониторинга температуры.

Скачать Hashcat здесь.

2. John the Ripper

John the Ripper - хорошо известный бесплатный инструмент для взлома паролей с открытым исходным кодом для Linux, Unix и Mac OS X. Также доступна версия для Windows.

John the Ripper предлагает взломать пароли для множества различных типов паролей. Это выходит за рамки паролей ОС и включает обычные веб-приложения (например, WordPress), сжатые архивы, файлы документов (файлы Microsoft Office, PDF-файлы и т. Д.) И многое другое.

Также доступна профессиональная версия инструмента, которая предлагает лучшие функции и собственные пакеты для целевых операционных систем. Вы также можете загрузить Openwall GNU / * / Linux, который поставляется с John the Ripper.

Загрузите John the Ripper здесь.

3. Brutus

Brutus - один из самых популярных удаленных онлайн-инструментов для взлома паролей. Он утверждает, что это самый быстрый и гибкий инструмент для взлома паролей. Этот инструмент бесплатный и доступен только для систем Windows. Он был выпущен еще в октябре 2000 года.

Brutus поддерживает несколько различных типов аутентификации, в том числе:

• HTTP (basic authentication)
• HTTP (HTML Form/CGI)
• POP3
• FTP
• SMB
• Telnet
• IMAP
• NNTP
• NetBus
• Custom protocols

Он также поддерживает протоколы многоступенчатой аутентификации и может атаковать до шестидесяти различных целей одновременно. Он также предлагает возможность приостановить, возобновить и импортировать атаку.

Брут уже несколько лет не обновляется. Однако его поддержка широкого спектра протоколов аутентификации и возможность добавления пользовательских модулей делают его популярным инструментом для атак по взлому паролей в интернете.

Получите онлайн-программу поиска паролей Brutus здесь.

4. Wfuzz

Wfuzz - это инструмент для взлома паролей веб-приложений, подобный Brutus, который пытается взломать пароли с помощью атаки методом перебора. Его также можно использовать для поиска скрытых ресурсов, таких как каталоги, сервлеты и сценарии. Wfuzz также может идентифицировать уязвимости инъекций в приложении, такие как внедрение SQL, внедрение XSS и внедрение LDAP.

Ключевые особенности инструмента для взлома паролей Wfuzz:

• Внедрение в нескольких точках в нескольких каталогах
• Вывод в цветном HTML
• Публикация, заголовки и брутфорс данных аутентификации
• Поддержка прокси и SOCK, поддержка нескольких прокси
• Многопоточность
• Подбор пароля HTTP с помощью запросов GET или POST
• Временная задержка между запросами
• Фаззинг файлов cookie

5. THC Hydra

THC Hydra - это онлайн-инструмент для взлома паролей, который пытается определить учетные данные пользователя с помощью атаки методом подбора пароля. Он доступен для Windows, Linux, Free BSD, Solaris и OS X.

THC Hydra расширяема с возможностью простой установки новых модулей. Он также поддерживает ряд сетевых протоколов, включая Asterisk, AFP, Cisco AAA, Cisco auth, Cisco enable, CVS, Firebird, FTP, HTTP-FORM-GET, HTTP-FORM-POST, HTTP-GET, HTTP-HEAD, HTTP. -PROXY, HTTPS-FORM-GET, HTTPS-FORM-POST, HTTPS-GET, HTTPS-HEAD, HTTP-прокси, ICQ, IMAP, IRC, LDAP, MS-SQL, MYSQL, NCP, NNTP, Oracle Listener, Oracle SID , Oracle, PC-Anywhere, PCNFS, POP3, POSTGRES, RDP, Rexec, Rlogin, Rsh, SAP / R3, SIP, SMB, SMTP, перечисление SMTP, SNMP, SOCKS5, SSH (v1 и v2), Subversion, Teamspeak (TS2 ), Telnet, VMware-Auth, VNC и XMPP.

Загрузите THC Hydra здесь.

Если вы разработчик, вы также можете внести свой вклад в разработку инструмента.

6. Medusa

Medusa - это онлайн-инструмент для взлома паролей, похожий на THC Hydra. Он утверждает, что является быстрым параллельным, модульным инструментом для подбора логина. Он поддерживает HTTP, FTP, CVS, AFP, IMAP, MS SQL, MYSQL, NCP, NNTP, POP3, PostgreSQL, pcAnywhere, rlogin, SMB, rsh, SMTP, SNMP, SSH, SVN, VNC, VmAuthd и Telnet.

Medusa - это инструмент командной строки, поэтому для его использования необходим определенный уровень знаний командной строки. Скорость взлома паролей зависит от подключения к сети. В локальной системе он может проверять 2000 паролей в минуту.

Medusa также поддерживает параллельные атаки. В дополнение к списку паролей, которые можно попробовать, также можно определить список имен пользователей или адресов электронной почты для проверки во время атаки.

Подробнее об этом читайте здесь.

Скачайте Медузу здесь.

7. RainbowCrack

Любой взлом паролей требует компромисса между временем и памятью. Если злоумышленник предварительно вычислил таблицу пар пароль / хэш и сохранил их как «радужную таблицу», то процесс взлома пароля упрощается до поиска в таблице. Эта угроза является причиной того, что пароли теперь засаливаются: добавление уникального случайного значения к каждому паролю перед хешированием означает, что количество требуемых радужных таблиц намного больше.

RainbowCrack - это инструмент для взлома паролей, предназначенный для работы с радужными таблицами. Можно создавать собственные таблицы радуги или использовать уже существующие, загруженные из Интернета. RainbowCrack предлагает бесплатную загрузку радужных таблиц для систем паролей LANMAN, NTLM, MD5 и SHA1.

Скачать радужные таблицы здесь.

Также доступны несколько платных радужных столов, которые вы можете купить у нас здесь.

Этот инструмент доступен как для систем Windows, так и для Linux.

Скачать RainbowCrack здесь.

8. OphCrack

OphCrack-это бесплатный инструмент для взлома паролей на основе радужных таблиц для Windows. Это самый популярный инструмент для взлома паролей Windows, но он также может быть использован в системах Linux и Mac. Он трескает хэши LM и NTLM. Для взлома Windows XP, Vista и Windows 7 также доступны бесплатные радужные таблицы.

Живой компакт-диск OphCrack также доступен для упрощения взлома. Можно использовать Live CD OphCrack для взлома паролей на базе Windows. Этот инструмент доступен бесплатно.

Скачать OphCrack здесь.

Скачать бесплатно и премиум радужные таблицы для OphCrack здесь.

9. L0phtCrack

L0phtCrack-это альтернатива OphCrack. Он пытается взломать пароли Windows из хэшей. Для взлома паролей он использует рабочие станции Windows, сетевые серверы, основные контроллеры домена и Active Directory. Он также использует словарь и атаки грубой силы для генерации и угадывания паролей. Он был приобретен компанией Symantec и прекращен в 2006 году. Позже разработчики L0pht снова приобрели его и запустили L0phtCrack в 2009 году.

L0phtCrack также поставляется с возможностью сканирования обычных проверок безопасности паролей. Можно установить ежедневные, еженедельные или ежемесячные аудиты, и он начнет сканирование в запланированное время.

Узнайте больше о L0phtCrack здесь.

10. Aircrack-ng

Aircrack-ng-это инструмент для взлома паролей Wi-Fi, который может взломать пароли WEP или WPA/WPA2 PSK. Он анализирует беспроводные зашифрованные пакеты, а затем пытается взломать пароли с помощью словарных атак и PTW, FMS и других алгоритмов взлома. Он доступен для систем Linux и Windows. Также можно послушать живой компакт-диск Aircrack.

Учебные пособия Aircrack-ng доступны здесь.

Скачать Aircrack-ng можно здесь.

Как создать пароль, который трудно взломать

В этом посте мы перечислили 10 инструментов для взлома паролей. Эти инструменты пытаются взломать пароли с помощью различных алгоритмов взлома паролей. Большинство инструментов для взлома паролей доступны бесплатно. Таким образом, вы всегда должны стараться иметь надежный пароль, который трудно взломать. Вот несколько советов, которые вы можете попробовать при создании пароля.

• Чем длиннее пароль, тем труднее его взломать: длина пароля-самый важный фактор. Сложность атаки на угадывание пароля грубой силой растет экспоненциально с длиной пароля. Случайный семизначный пароль можно взломать за считанные минуты, а десятисимвольный-за сотни лет.
• Всегда используйте комбинацию символов, цифр и специальных символов: использование различных символов также затрудняет угадывание пароля с помощью грубой силы, поскольку это означает, что взломщики должны попробовать более широкий спектр вариантов для каждого символа пароля. Включите цифры и специальные символы, а не только в конце пароля или в качестве замены букв (например, @ для a).
• Разнообразие паролей: атаки на заполнение учетных данных используют ботов для проверки того, используются ли пароли, украденные из одной онлайн-учетной записи, также и для других учетных записей. Нарушение данных в крошечной компании может поставить под угрозу банковский счет, если используются одни и те же учетные данные. Используйте длинный, случайный и уникальный пароль для всех учетных записей в интернете.

Чего следует избегать при выборе пароля

Киберпреступники и разработчики взломщиков паролей знают все "умные" трюки, которые люди используют для создания своих паролей. Некоторые распространенные ошибки пароля, которых следует избегать, включают в себя:

1. Использование словарного слова: словарные атаки предназначены для проверки каждого слова в словаре (и общих перестановок) в считанные секунды.
2. Использование личной информации: имя домашнего животного, имя родственника, место рождения, любимый вид спорта и так далее-все это словарные слова. Даже если бы это было не так, существуют инструменты, чтобы захватить эту информацию из социальных сетей и построить из нее список слов для атаки.
3. Использование шаблонов: пароли, такие как 1111111, 12345678, qwerty и asdfgh, являются одними из наиболее часто используемых в настоящее время. Они также включены в список слов каждого взломщика паролей.
4. Использование подстановок символов: подстановки символов, такие как 4 для A и $ для S, хорошо известны. Словарные атаки проверяют эти замены автоматически.
5. Использование цифр и специальных символов только в конце: большинство людей помещают свои необходимые цифры и специальные символы в конце пароля. Эти шаблоны встроены в взломщики паролей.
6. Использование общих паролей: каждый год такие компании, как Splashdata, публикуют списки наиболее часто используемых паролей. Они создают эти списки, взламывая взломанные пароли, точно так же, как это сделал бы злоумышленник. Никогда не используйте пароли в этих списках или что-то подобное.
7. Использование чего угодно, кроме случайного пароля: пароли должны быть длинными, случайными и уникальными. Используйте менеджер паролей для безопасного создания и хранения паролей для сетевых учетных записей.

Вывод

Инструменты для взлома паролей предназначены для получения хэшей паролей, просочившихся во время взлома данных или украденных с помощью атаки, и извлечения из них исходных паролей. Они достигают этого, используя преимущества использования слабых паролей или пробуя каждый потенциальный пароль заданной длины.

Поисковики паролей можно использовать для самых разных целей, и не все они плохие. Хотя они обычно используются киберпреступниками, службы безопасности также могут использовать их для проверки надежности паролей своих пользователей и оценки риска слабых паролей для организации.