Hoe u zelf een wachtwoord kunt kraken om de sterkte ervan te testen

In het artikel werden 3 verschillende wachtwoorden getest met een open source wachtwoordkraaktool om erachter te komen welke methode echt werkt als het gaat om wachtwoordbeveiliging.

• Instructies voor het inloggen op uw computer als u uw wachtwoord bent vergeten

Inhoudsopgave

• Wat is wachtwoordkraken?
• Hoe u uw eigen wachtwoorden kunt kraken met HashCat
• Voer een eenvoudige jailbreak uit met behulp van de Dictionary Attack-methode
• Voer een complexere jailbreak uit met behulp van verborgen Brute Force-aanvallen
• Hoe u uw account kunt beschermen tegen wachtwoordhacking

Wat is wachtwoordkraken?

Wanneer u een account aanmaakt bij een onlinedienst, versleutelt de aanbieder doorgaans uw inloggegevens op zijn servers. Dit gebeurt met behulp van een algoritme dat een 'hash' creëert: een schijnbaar unieke, willekeurige reeks letters en cijfers voor uw wachtwoord. Natuurlijk is het niet echt willekeurig, maar een heel specifieke reeks tekens die alleen uw wachtwoord kan genereren. Voor het ongetrainde oog ziet het er echter rommelig uit.

Het omzetten van een woord naar een hash is veel sneller en eenvoudiger dan het 'decoderen' van de hash naar een nieuw woord. Wanneer u een wachtwoord instelt, voert de dienst waarmee u inlogt uw wachtwoord door een hash en slaat het resultaat op op hun servers.

Als dit wachtwoordbestand uitlekt, proberen hackers de inhoud ervan te achterhalen door het wachtwoord te kraken. Omdat het versleutelen van wachtwoorden sneller is dan het ontsleutelen ervan, zetten hackers een systeem op dat potentiële wachtwoorden als invoer neemt, ze op dezelfde manier versleutelt als de server en de resultaten vervolgens vergelijkt met een wachtwoorddatabase.

Als de hash van een mogelijk wachtwoord overeenkomt met een invoer in de database, weet de hacker dat elke poging overeenkomt met het geprobeerde potentiële wachtwoord.

Hoe u uw eigen wachtwoorden kunt kraken met HashCat

Probeer een aantal wachtwoorden te kraken die in het artikel zijn gegenereerd en kijk hoe eenvoudig dat is. Om dit te doen, zal het voorbeeld Hashcat gebruiken , een gratis en open source wachtwoordkraaktool die iedereen kan gebruiken.

Voor deze tests kraakt het voorbeeld de volgende wachtwoorden:

• 123456 : Een klassiek wachtwoord en een nachtmerrie op het gebied van cybersecurity. 123456 is het meest gebruikte wachtwoord ter wereld . NordPass berekende dat 3 miljoen accounts 123456 als wachtwoord gebruikten, waaronder 1,2 miljoen accounts op bedrijfsniveau.
• Susan48! : Een wachtwoord dat patronen volgt die de meeste gebruikers zouden gebruiken om veilige wachtwoorden te creëren. Over het algemeen voldoet dit aan de criteria voor basiswachtwoordbeveiliging. Maar zoals we later zullen zien, kent het enkele belangrijke zwakheden die kunnen worden uitgebuit.
• t9^kJ$2q9a : Een wachtwoord gegenereerd met de tool van Bitwarden. Er wordt een wachtwoord van 10 tekens gegenereerd, bestaande uit hoofdletters, kleine letters, symbolen en cijfers.

Versleutel nu het wachtwoord met MD5. Dit is hoe de wachtwoorden eruit zouden zien als ze in een opgeslagen wachtwoordbestand zouden staan:

• 123456 : e10adc3949ba59abbe56e057f20f883e
• Susan48! : df1ce7227606805745ee6cbc644ecbe4
• t9^kJ$2q9a : 450e4e0ad3ed8766cb2ba83081c0a625

Nu is het tijd om ze te kraken.

Voer een eenvoudige jailbreak uit met behulp van de Dictionary Attack-methode

Om te beginnen voeren we een woordenboekaanval uit, een van de meest voorkomende wachtwoordaanvalmethoden. Dit is een eenvoudige aanval waarbij de hacker een lijst met potentiële wachtwoorden opvraagt, Hashcat vraagt ​​deze om te zetten naar MD5 en kijkt of de wachtwoorden overeenkomen met de drie bovenstaande vermeldingen. Voor deze test gebruiken we het bestand "rockyou.txt" als woordenboek. Dit is een van de grootste wachtwoordlekken uit de geschiedenis.

Om te beginnen met kraken, ging de auteur van het artikel naar de Hashcat-map, klikte met de rechtermuisknop op een lege ruimte en klikte op Openen in terminal . Nu de Terminal geopend is en is ingesteld op de Hashcat-directory, roept u de Hashcat-applicatie aan met de volgende opdracht:

.\hashcat -m 0 -a 0 passwordfile.txt rockyou.txt -o results.txt

Dit is wat het commando doet:

• .\hashcat roept Hashcat aan.
• -m 0 : Geeft aan welk type codering moet worden gebruikt. In dit geval wordt MD5 gebruikt, vermeld als 0 in de Hashcat-helpdocumentatie.
• -a 0 : Geeft aan welke aanval moet worden uitgevoerd. In de helpdocumentatie van Hashcat staat Dictionary Attack vermeld als nul. Daarom noemen we dat hier ook.
• passwordfile.txt rockyou.txt : Het eerste bestand bevat de 3 gecodeerde wachtwoorden die we eerder hebben ingesteld. Het tweede bestand is de volledige rockyou-wachtwoorddatabase.
• -o results.txt : Deze variabele bepaalt waar we de resultaten plaatsen. In de opdracht worden de gekraakte wachtwoorden in een TXT-bestand met de naam 'results' geplaatst.

Hoewel rockyou enorm was, verwerkte Hashcat ze allemaal in 6 seconden. In het resulterende bestand geeft Hashcat aan dat het wachtwoord 123456 gekraakt is, maar de wachtwoorden Susan en Bitwarden zijn nog steeds niet gekraakt. Dat komt doordat 123456 door iemand anders werd gebruikt in het bestand rockyou.txt, maar niemand anders gebruikte het wachtwoord Susan of Bitwarden. Dit betekent dat ze veilig genoeg waren om deze aanval te overleven.

Voer een complexere jailbreak uit met behulp van verborgen Brute Force-aanvallen

Woordenboekaanvallen zijn effectief wanneer iemand hetzelfde wachtwoord gebruikt als een wachtwoord dat voorkomt in een lange wachtwoordlijst. Ze zijn snel en eenvoudig te implementeren, maar kunnen geen wachtwoorden kraken die niet in het woordenboek voorkomen. Als u uw wachtwoord echt wilt testen, moet u Brute Force-aanvallen gebruiken.

Als woordenboekaanvallen bestaan ​​uit het nemen van een vooraf ingestelde lijst en deze één voor één omzetten, doen brute force-aanvallen hetzelfde, maar dan met alle denkbare combinaties. Ze zijn moeilijker uit te voeren en kosten meer tijd, maar uiteindelijk kun je er elk wachtwoord mee kraken. Zoals we straks zullen zien, kan het soms lang duren voordat dit lukt.

Dit is het commando dat gebruikt wordt om een ​​"echte" Brute Force-aanval uit te voeren:

.\hashcat -m 0 -a 3 target.txt --increment ?a?a?a?a?a?a?a?a?a?a -o output.txt

Dit is wat het commando doet:

• -a 3 : Deze variabele definieert de aanval die we willen uitvoeren. In de helpdocumentatie van Hashcat staan ​​Brute Force-aanvallen op nummer 3; zo wordt het hier ook genoemd.
• target.txt : bestand met het gecodeerde wachtwoord dat u wilt kraken.
• --increment : Met deze opdracht geeft u Hashcat de opdracht om alle wachtwoorden te proberen die uit één teken bestaan, dan twee, dan drie, enz., totdat er een overeenkomst wordt gevonden.
• ?a?a?a?a?a?a?a?a?a?a?a : Dit wordt een "masker" genoemd. Met maskers kunnen we Hashcat vertellen welke tekens op welke posities worden gebruikt. Elk vraagteken specificeert een tekenpositie in het wachtwoord en de letter specificeert wat we op elke positie proberen. De letter "a" staat voor hoofdletters en kleine letters, cijfers en symbolen. Dit masker zegt dan ook: "Probeer alles op elke positie". Dit is een verschrikkelijk masker, maar we zullen later zien hoe we het effectief kunnen gebruiken.
• -o output.txt : Deze variabele bepaalt waar we de resultaten plaatsen. Met het voorbeeldcommando worden de gekraakte wachtwoorden in een TXT-bestand met de naam 'output' geplaatst.

Zelfs met dit slechte masker is het wachtwoord 123456 binnen 15 seconden gekraakt. Hoewel het het meestgebruikte wachtwoord is, is het ook een van de zwakste.

Wachtwoord "Susan48!" veel beter - de computer geeft aan dat het 4 dagen duurt om te kraken. Er is echter één probleem. Weet u nog dat in het artikel stond dat Susans wachtwoord een aantal ernstige gebreken vertoonde? De grootste fout is dat wachtwoorden op een voorspelbare manier worden samengesteld.

Bij het aanmaken van wachtwoorden plaatsen we vaak specifieke elementen op specifieke plaatsen. Je kunt je voorstellen dat de bedenker van het wachtwoord, Susan, eerst "susan" probeerde te gebruiken, maar toen werd gevraagd om hoofdletters en cijfers toe te voegen. Om het makkelijker te kunnen onthouden, begonnen ze met een hoofdletter en voegden ze aan het einde cijfers toe. Dan heeft een inlogdienst misschien om een ​​symbool gevraagd, dus heeft de wachtwoordmaker dat aan het einde toegevoegd.

We kunnen mask gebruiken om Hashcat te vertellen dat het alleen specifieke tekens op specifieke plekken moet proberen. Zo kunnen we misbruik maken van hoe makkelijk wachtwoorden te raden zijn. In dit masker worden met "?u" alleen hoofdletters gebruikt op die positie, met "?l" alleen kleine letters en met "?a" worden alle tekens weergegeven:

.\hashcat -m 0 -a 3 -1 ?a target.txt ?u?l?l?l?l?a?a?a -o output.txt

Met dit masker kraakte Hashcat het wachtwoord in 3 minuten en 10 seconden, veel sneller dan de 4 dagen die het kostte.

Het wachtwoord van Bitwarden is 10 tekens lang en maakt geen gebruik van een voorspelbaar patroon. Daarom is een Brute Force-aanval zonder masker nodig om het te kraken. Helaas gaf Hashcat een foutmelding toen we dit vroegen. De foutmelding gaf aan dat het aantal mogelijke combinaties de limiet voor gehele getallen overschreed. Volgens een IT-beveiligingsexpert kostte het Bitwarden 3 jaar om het wachtwoord te kraken, en dat is genoeg.

Hoe u uw account kunt beschermen tegen wachtwoordhacking

De belangrijkste factoren die voorkomen dat het artikel het wachtwoord van Bitwarden kraakt, zijn de lengte (10 tekens) en de onvoorspelbaarheid. Probeer daarom uw wachtwoord zo lang mogelijk te maken en zorg dat u de symbolen, cijfers en hoofdletters gelijkmatig over het wachtwoord verdeelt. Hierdoor kunnen hackers geen maskers gebruiken om de locatie van elk element te voorspellen en worden ze veel moeilijker te kraken.

U kent waarschijnlijk de oude wachtwoordspreuken zoals "gebruik een tekenreeks" en "maak hem zo lang mogelijk". Hopelijk weet u waarom mensen deze nuttige tips aanbevelen: ze zijn het belangrijkste verschil tussen een makkelijk te kraken wachtwoord en een veilig wachtwoord.