专栏首页用户7466307的专栏5种最流行的密码破解工具:保护您的账号

5种最流行的密码破解工具:保护您的账号

密码 我们到底是怎么到达这里的?他们已经存在了很多年,但是关于它们还有很多话要说。

在大多数组织中,密码是阻止网络犯罪分子和遭受网络攻击的受害者之间的区别。对于这么多组织的众多应用程序,系统和基础架构,防止未经授权访问的唯一安全控制措施是一个简单的密码,长度在4到127个字符之间。

密码(有时称为密码,密码,PIN或机密)用于确保只有授权的员工或用户才能访问应用程序和系统。密码通常与标识符(通常是用户名或电子邮件地址)结合使用,以确定谁在访问系统,以验证该身份的真实性。密码只应为用户所知,不得共享。密码(有时称为密码,密码,PIN或机密)用于确保只有授权的员工或用户才能访问应用程序和系统。密码通常与标识符(通常是用户名或电子邮件地址)结合使用,以确定谁在访问系统,以验证该身份的真实性。密码只应为用户所知,不得共享。

通常,密码是一组字符组合,例如字母,数字和符号,用于验证身份或验证访问系统或应用程序的授权。但是,并非所有登录系统都执行相同的安全最佳做法。不同的身份验证系统需要不同的长度和复杂的密码字符串,这带来了挑战。一些系统设置了密码长度限制,一些系统设置了密码复杂度限制,有些系统甚至要求所有小写字符。

另一种流行的登录方法是PIN。这通常是指仅用于数字的密码,通常为4-6个数字,并且通常在移动设备上使用。作为最佳实践,您应该了解登录系统的限制,以便可以确保配置和使用最高的安全性。并确保您的安全解决方案可用且不太复杂,否则用户将恢复不良的密码卫生习惯,例如在多个系统和凭据之间重用密码。

登录系统并非都提供相同的安全性

大多数登录系统使用一种称为哈希的加密技术将密码存储在数据库中,并且该哈希应该是一种单向算法。除了用户或系统外,没有人应该不知道明文密码。

在安全研究人员发现“冲突”之前,过去最常用的哈希是SHA1。这是两个不同的输入创建相同的输出的时候。这对安全性不利,意味着SHA1无法再用于存储密码。重要的是要知道使用了哪种哈希算法,以及它是否还包含盐:将额外的随机数据添加到输入中。

哈希是一种用于存储密码的单向加密算法

那么,网络罪犯如何破解或窃取您的密码来访问应用程序和系统?

大多数网络罪犯都希望使用最简单最隐秘最便宜的方式来窃取密码。网络钓鱼是最简单的方法之一,它们只是询问您密码。该技术利用了您的信任性质,当登录到假冒的登录网站(看起来很真实)时,您会在登录时将用户名和密码交给攻击者。以下是一些用于获取密码的最常用技术:

  1. 要求用户输入他们的密码,以假装自己是真实的互联网服务
  2. 使用暴力破解或字典攻击破解密码
  3. 绕过身份验证发现应用程序中的漏洞

网络罪犯使用的一些示例使您点击不良内容

让我们仔细看看密码破解技术:

在网络罪犯开始破解您的密码之前,他们必须首先获取哈希,如前所述,该哈希是您密码的加密存储值。有一些工具可以用来获取这些哈希值:

  • Mimikatz –密码恢复和审核工具
  • 捕获数据包– Wireshark等工具捕获网络中移动的数据包
  • Metasploit框架 –一种安全框架,可帮助安全专业人员评估和管理安全性
  • 响应程序 – LLMNR和NBT-NS(NetBIOS名称服务)响应程序

这是典型的密码破解流程:

  1. 窃取/获取哈希
  2. 根据工具整理和格式化哈希
  3. 计划您的攻击方法:单词表,规则和掩码
  4. 破解密码
  5. 分析密码的进度
  6. 自定义攻击
  7. 重复

5种流行的密码破解工具

Kali Linux –流行的渗透测试分发工具

Kali Linux是众所周知的安全工具,它具有从虚拟映像到软件安装的许多不同的可启动选项。它甚至可以在Raspberry PI上运行。它已在全球范围内用于渗透测试,并由IT安全团队保护其网络或在其网络中查找漏洞。Kali随附了多种流行的密码攻击工具:

  • Burp Suite
  • CeWL
  • Hashcat
  • THC-Hydra
  • John the Ripper
  • PACK
  • Statsprocessor

CeWL自定义WordList生成器

CeWL是我最喜欢的单词列表生成器之一。它使您可以通过建立蜘蛛网网站来创建单词列表。

当使用CeWL时,我从如下基本命令开始:

命令行选项是:

-h =帮助 -d =到达蜘蛛站点的深度 -m =最小字长 -w =输出文件 -e =包含电子邮件

Mimikatz安全审核工具

Mimikatz是另一个流行的安全审核工具,用于从内存中提取纯文本密码,哈希,PIN码和Kerberos票证。它主要用于在网络上横向移动,一次一次提升特权。

Hashcat Hashcat是世界上最快,最先进的密码恢复实用程序

Hashcat是密码破解工具,最常用于执行不同的攻击模式,例如直接攻击,组合攻击,蛮力攻击和混合攻击。

Hashcat攻击模式选项:

hashcat命令的示例:

命令行选项:

-m =哈希类型(0 = MD5,100 = Sha1,1000 = NTLM) -a =攻击模式

0 | 直 1 | 组合 3 | 暴力破解 6 | 混合词表+蒙版 7 | 混合蒙版+词表

Pipal密码分析器

当您破解密码或分析密码转储时,了解密码的一种好方法是使用密码分析器对其进行分析。有几种出色的工具,但是Pipal是我的最爱之一。这很简单,但功能强大。

您需要做的只是针对密码文件运行Pipal ruby。在以下示例中,我使用“ rockyou”密码文件:

Pipal密码分析器的输出示例:

密码破解摘要

这些只是可用的几种顶级密码破解工具,并且您可以看到,密码很容易破解。因此,重要的是使网络罪犯尽可能地难以完成任务,并确保对于关键系统和应用程序,密码不是保护您环境的唯一安全控制措施。

由于用户通常必须管理30个或更多不同的用户帐户和凭据,因此几乎可以肯定,他们将重用密码或使用相同密码的某些变体。这意味着一旦攻击者攻破了一个密码,他们猜测其他密码就只是一个时间问题,而且借助Hashcat之类的工具以及良好的单词列表和规则,这不会花很长时间!

确保密码不是保护您环境的唯一安全控制

我们必须教育最终用户并为他们提供正确的工具,以使他们不会发展不良的安全卫生习惯。让我们使安全性变得易于使用和方便,并授权用户形成更强大的一线防御。

不要让密码成为保护关键资产的唯一安全方法

最后,这是我的10条安全提示,可帮助用户保护自己,家人和所服务的公司。安全始于家庭。必须在工作场所之外对用户进行教育和授权。

减少密码风险的10条安全提示

  1. 使用强密码
  2. 不使用系统时注销
  3. 不要重复使用密码
  4. 使用密码管理器
  5. 密码越长越好,越好
  6. 旋转密码
  7. 使用特权访问管理(PAM)产品(业务)
  8. 使用多因素身份验证或至少2FA
  9. 审核登陆(设备锁)
  10. 不要害怕寻求建议

本文分享自微信公众号 - 软件测试test(gh_d29759b02f67),作者:Coldrain

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-05-22

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • TCP / IP模型:什么是TCP IP堆栈?协议层,优点

    TCP / IP可帮助您确定特定计算机应如何连接到Internet以及如何在它们之间传输数据。当多个计算机网络连接在一起时,它可以帮助您创建虚拟网络。

    用户7466307
  • 如何在Selenium WebDriver中查找元素?(一)

    有多种方法可以唯一地标识网页中的一个Web元素,例如ID,名称,类名,链接文本,部分链接文本,标记名和XPATH。

    用户7466307
  • 使用Pytest创建一个Python测试自动化项目

    Python是当前最流行的编程语言之一。它为Web后端,数据科学笔记本,sysadmin脚本等提供支持。它的语法简洁,易读且优雅–非常适合初学者和专家。您可以想...

    用户7466307
  • 什么样的密码才是安全的?

    什么样的密码才是安全的?相信这样的老生常谈你已经听腻了:密码设置得长一些,混合数字字母符号,避免任何可能容易联系到你本身的密码。但现实是在街头调查中大多数人并没...

    企鹅号小编
  • 密码又泄露?!大数据告诉你什么样的密码最牢靠

    大数据文摘
  • 解密千万密码:透过密码看人性

    大数据文摘
  • 个人账号密码管理体系(密码篇)

    在我们的生活中,有各种网站、应用都需要注册和登录。这些网络访问通常需要 「账户」 + 「密码」 的认证方式,于是几乎我们每个人手上都有几十个甚至上百个账号。

    行走少年郎
  • 安全芯片密码检测、密码模块安全检测、与等保2.0

    前面我们知道GM/T 0008-2012《安全芯片密码检测准则》将安全芯片密码等级分为3个等级! 而在GM/T 0028-2015《密码模块安全技术要求》和GM...

    安智客
  • 企业如何抵御弱云密码

    弱密码对于依靠云服务的企业来说是一种常见的威胁。专家Dejan Lukan总结了一些关于密码的最佳实践。 云服务在过去几年如雨后春笋般崛起,并被大量的个人和公司...

    静一
  • 为什么汉字不能当密码,你想过吗?假如用汉字做密码,又会怎样?

    日常生活中,密码的使用十分常见。基本上,登录APP、手机支付、开机解锁,都需要使用密码。密码的形式也多种多样:数字密码,指纹密码,字母密码等,却唯独没有汉字,这...

    JAVA葵花宝典

扫码关注云+社区

领取腾讯云代金券