Microsoft staat op het punt de krachtigste quantumcomputer ter wereld te bouwen
Microsoft blijft een belangrijke speler in het wereldwijde onderzoek naar quantumcomputing.
Hoe u zelf een wachtwoord kunt kraken om de sterkte ervan te testen
In het artikel werden 3 verschillende wachtwoorden getest met een open source wachtwoordkraaktool om erachter te komen welke methode echt werkt als het gaat om wachtwoordbeveiliging.
Inhoudsopgave
- Wat is wachtwoordkraken?
- Hoe u uw eigen wachtwoorden kunt kraken met HashCat
- Voer een eenvoudige jailbreak uit met behulp van de Dictionary Attack-methode
- Voer een complexere jailbreak uit met behulp van verborgen Brute Force-aanvallen
- Hoe u uw account kunt beschermen tegen wachtwoordhacking
Wat is wachtwoordkraken?
Wanneer u een account aanmaakt bij een onlinedienst, versleutelt de aanbieder doorgaans uw inloggegevens op zijn servers. Dit gebeurt met behulp van een algoritme dat een 'hash' creëert: een schijnbaar unieke, willekeurige reeks letters en cijfers voor uw wachtwoord. Natuurlijk is het niet echt willekeurig, maar een heel specifieke reeks tekens die alleen uw wachtwoord kan genereren. Voor het ongetrainde oog ziet het er echter rommelig uit.
Het omzetten van een woord naar een hash is veel sneller en eenvoudiger dan het 'decoderen' van de hash naar een nieuw woord. Wanneer u een wachtwoord instelt, voert de dienst waarmee u inlogt uw wachtwoord door een hash en slaat het resultaat op op hun servers.
Als dit wachtwoordbestand uitlekt, proberen hackers de inhoud ervan te achterhalen door het wachtwoord te kraken. Omdat het versleutelen van wachtwoorden sneller is dan het ontsleutelen ervan, zetten hackers een systeem op dat potentiële wachtwoorden als invoer neemt, ze op dezelfde manier versleutelt als de server en de resultaten vervolgens vergelijkt met een wachtwoorddatabase.
Als de hash van een mogelijk wachtwoord overeenkomt met een invoer in de database, weet de hacker dat elke poging overeenkomt met het geprobeerde potentiële wachtwoord.
Hoe u uw eigen wachtwoorden kunt kraken met HashCat
Probeer een aantal wachtwoorden te kraken die in het artikel zijn gegenereerd en kijk hoe eenvoudig dat is. Om dit te doen, zal het voorbeeld Hashcat gebruiken , een gratis en open source wachtwoordkraaktool die iedereen kan gebruiken.
Voor deze tests kraakt het voorbeeld de volgende wachtwoorden:
- 123456 : Een klassiek wachtwoord en een nachtmerrie op het gebied van cybersecurity. 123456 is het meest gebruikte wachtwoord ter wereld . NordPass berekende dat 3 miljoen accounts 123456 als wachtwoord gebruikten, waaronder 1,2 miljoen accounts op bedrijfsniveau.
- Susan48! : Een wachtwoord dat patronen volgt die de meeste gebruikers zouden gebruiken om veilige wachtwoorden te creëren. Over het algemeen voldoet dit aan de criteria voor basiswachtwoordbeveiliging. Maar zoals we later zullen zien, kent het enkele belangrijke zwakheden die kunnen worden uitgebuit.
- t9^kJ$2q9a : Een wachtwoord gegenereerd met de tool van Bitwarden. Er wordt een wachtwoord van 10 tekens gegenereerd, bestaande uit hoofdletters, kleine letters, symbolen en cijfers.
Versleutel nu het wachtwoord met MD5. Dit is hoe de wachtwoorden eruit zouden zien als ze in een opgeslagen wachtwoordbestand zouden staan:
- 123456 : e10adc3949ba59abbe56e057f20f883e
- Susan48! : df1ce7227606805745ee6cbc644ecbe4
- t9^kJ$2q9a : 450e4e0ad3ed8766cb2ba83081c0a625
Nu is het tijd om ze te kraken.
Voer een eenvoudige jailbreak uit met behulp van de Dictionary Attack-methode
Om te beginnen voeren we een woordenboekaanval uit, een van de meest voorkomende wachtwoordaanvalmethoden. Dit is een eenvoudige aanval waarbij de hacker een lijst met potentiële wachtwoorden opvraagt, Hashcat vraagt deze om te zetten naar MD5 en kijkt of de wachtwoorden overeenkomen met de drie bovenstaande vermeldingen. Voor deze test gebruiken we het bestand "rockyou.txt" als woordenboek. Dit is een van de grootste wachtwoordlekken uit de geschiedenis.
Om te beginnen met kraken, ging de auteur van het artikel naar de Hashcat-map, klikte met de rechtermuisknop op een lege ruimte en klikte op Openen in terminal . Nu de Terminal geopend is en is ingesteld op de Hashcat-directory, roept u de Hashcat-applicatie aan met de volgende opdracht:
.\hashcat -m 0 -a 0 passwordfile.txt rockyou.txt -o results.txtDit is wat het commando doet:
- .\hashcat roept Hashcat aan.
- -m 0 : Geeft aan welk type codering moet worden gebruikt. In dit geval wordt MD5 gebruikt, vermeld als 0 in de Hashcat-helpdocumentatie.
- -a 0 : Geeft aan welke aanval moet worden uitgevoerd. In de helpdocumentatie van Hashcat staat Dictionary Attack vermeld als nul. Daarom noemen we dat hier ook.
- passwordfile.txt rockyou.txt : Het eerste bestand bevat de 3 gecodeerde wachtwoorden die we eerder hebben ingesteld. Het tweede bestand is de volledige rockyou-wachtwoorddatabase.
- -o results.txt : Deze variabele bepaalt waar we de resultaten plaatsen. In de opdracht worden de gekraakte wachtwoorden in een TXT-bestand met de naam 'results' geplaatst.
Hoewel rockyou enorm was, verwerkte Hashcat ze allemaal in 6 seconden. In het resulterende bestand geeft Hashcat aan dat het wachtwoord 123456 gekraakt is, maar de wachtwoorden Susan en Bitwarden zijn nog steeds niet gekraakt. Dat komt doordat 123456 door iemand anders werd gebruikt in het bestand rockyou.txt, maar niemand anders gebruikte het wachtwoord Susan of Bitwarden. Dit betekent dat ze veilig genoeg waren om deze aanval te overleven.
Voer een complexere jailbreak uit met behulp van verborgen Brute Force-aanvallen
Woordenboekaanvallen zijn effectief wanneer iemand hetzelfde wachtwoord gebruikt als een wachtwoord dat voorkomt in een lange wachtwoordlijst. Ze zijn snel en eenvoudig te implementeren, maar kunnen geen wachtwoorden kraken die niet in het woordenboek voorkomen. Als u uw wachtwoord echt wilt testen, moet u Brute Force-aanvallen gebruiken.
Als woordenboekaanvallen bestaan uit het nemen van een vooraf ingestelde lijst en deze één voor één omzetten, doen brute force-aanvallen hetzelfde, maar dan met alle denkbare combinaties. Ze zijn moeilijker uit te voeren en kosten meer tijd, maar uiteindelijk kun je er elk wachtwoord mee kraken. Zoals we straks zullen zien, kan het soms lang duren voordat dit lukt.
Dit is het commando dat gebruikt wordt om een "echte" Brute Force-aanval uit te voeren:
.\hashcat -m 0 -a 3 target.txt --increment ?a?a?a?a?a?a?a?a?a?a -o output.txtDit is wat het commando doet:
- -a 3 : Deze variabele definieert de aanval die we willen uitvoeren. In de helpdocumentatie van Hashcat staan Brute Force-aanvallen op nummer 3; zo wordt het hier ook genoemd.
- target.txt : bestand met het gecodeerde wachtwoord dat u wilt kraken.
- --increment : Met deze opdracht geeft u Hashcat de opdracht om alle wachtwoorden te proberen die uit één teken bestaan, dan twee, dan drie, enz., totdat er een overeenkomst wordt gevonden.
- ?a?a?a?a?a?a?a?a?a?a?a : Dit wordt een "masker" genoemd. Met maskers kunnen we Hashcat vertellen welke tekens op welke posities worden gebruikt. Elk vraagteken specificeert een tekenpositie in het wachtwoord en de letter specificeert wat we op elke positie proberen. De letter "a" staat voor hoofdletters en kleine letters, cijfers en symbolen. Dit masker zegt dan ook: "Probeer alles op elke positie". Dit is een verschrikkelijk masker, maar we zullen later zien hoe we het effectief kunnen gebruiken.
- -o output.txt : Deze variabele bepaalt waar we de resultaten plaatsen. Met het voorbeeldcommando worden de gekraakte wachtwoorden in een TXT-bestand met de naam 'output' geplaatst.
Zelfs met dit slechte masker is het wachtwoord 123456 binnen 15 seconden gekraakt. Hoewel het het meestgebruikte wachtwoord is, is het ook een van de zwakste.
Wachtwoord "Susan48!" veel beter - de computer geeft aan dat het 4 dagen duurt om te kraken. Er is echter één probleem. Weet u nog dat in het artikel stond dat Susans wachtwoord een aantal ernstige gebreken vertoonde? De grootste fout is dat wachtwoorden op een voorspelbare manier worden samengesteld.
Bij het aanmaken van wachtwoorden plaatsen we vaak specifieke elementen op specifieke plaatsen. Je kunt je voorstellen dat de bedenker van het wachtwoord, Susan, eerst "susan" probeerde te gebruiken, maar toen werd gevraagd om hoofdletters en cijfers toe te voegen. Om het makkelijker te kunnen onthouden, begonnen ze met een hoofdletter en voegden ze aan het einde cijfers toe. Dan heeft een inlogdienst misschien om een symbool gevraagd, dus heeft de wachtwoordmaker dat aan het einde toegevoegd.
We kunnen mask gebruiken om Hashcat te vertellen dat het alleen specifieke tekens op specifieke plekken moet proberen. Zo kunnen we misbruik maken van hoe makkelijk wachtwoorden te raden zijn. In dit masker worden met "?u" alleen hoofdletters gebruikt op die positie, met "?l" alleen kleine letters en met "?a" worden alle tekens weergegeven:
.\hashcat -m 0 -a 3 -1 ?a target.txt ?u?l?l?l?l?a?a?a -o output.txtMet dit masker kraakte Hashcat het wachtwoord in 3 minuten en 10 seconden, veel sneller dan de 4 dagen die het kostte.
Het wachtwoord van Bitwarden is 10 tekens lang en maakt geen gebruik van een voorspelbaar patroon. Daarom is een Brute Force-aanval zonder masker nodig om het te kraken. Helaas gaf Hashcat een foutmelding toen we dit vroegen. De foutmelding gaf aan dat het aantal mogelijke combinaties de limiet voor gehele getallen overschreed. Volgens een IT-beveiligingsexpert kostte het Bitwarden 3 jaar om het wachtwoord te kraken, en dat is genoeg.
Hoe u uw account kunt beschermen tegen wachtwoordhacking
De belangrijkste factoren die voorkomen dat het artikel het wachtwoord van Bitwarden kraakt, zijn de lengte (10 tekens) en de onvoorspelbaarheid. Probeer daarom uw wachtwoord zo lang mogelijk te maken en zorg dat u de symbolen, cijfers en hoofdletters gelijkmatig over het wachtwoord verdeelt. Hierdoor kunnen hackers geen maskers gebruiken om de locatie van elk element te voorspellen en worden ze veel moeilijker te kraken.
U kent waarschijnlijk de oude wachtwoordspreuken zoals "gebruik een tekenreeks" en "maak hem zo lang mogelijk". Hopelijk weet u waarom mensen deze nuttige tips aanbevelen: ze zijn het belangrijkste verschil tussen een makkelijk te kraken wachtwoord en een veilig wachtwoord.
Leer meer over foutcode 0xc00000e en hoe u deze kunt oplossen
De gevreesde Blue Screen of Death (BSOD)-foutcode 0xc00000e, die vaak verschijnt bij het opstarten van Windows 10, kan verwarrend zijn.
Speel Samen ruimte, noem de ruimte Speel Samen
Veel mensen gebruiken spaties in hun Play Together-namen of gebruiken kleine onderstrepingstekens om spaties te creëren tussen de letters die je in je naam schrijft.
Hoe Black Beacon PC te downloaden
Hoewel het zeker mogelijk is om Black Beacon op de pc te spelen, is de game op dit moment nog niet officieel geoptimaliseerd voor dit platform.
Formule voor het berekenen van het oppervlak en het volume van een bol
De oppervlakte van een bol is vier keer zo groot als de oppervlakte van een grote cirkel. Die oppervlakte is vier keer de constante Pi vermenigvuldigd met het kwadraat van de straal van de bol.
Wat is er zo bijzonder aan het ruimtepak dat China koos voor de eerste bemande landing op de maan?
China streeft ernaar om uiterlijk in 2030 haar eerste burgers naar de maan te sturen. Het land heeft zojuist een nieuw ontworpen ruimtepak onthuld dat gebruikt zal worden tijdens de komende historische missie.
Voedingsmiddelen die gemakkelijk ontstekingen in het lichaam veroorzaken
Veel voedingsmiddelen kunnen ontstekingen en chronische ziekten veroorzaken. Hieronder staan voedingsmiddelen die u niet te veel moet eten als u geen ziektes in uw lichaam wilt brengen.
Instructies voor het spelen van Zuka Lien Quan Mobile seizoen S1 2023
Zuka is een huurmoordenaar die bekend staat als een schrikbeeld voor kampioenen met een lage gezondheid. Leer hoe je Zuka effectief kunt gebruiken in seizoen 23.
Nieuwste Heroic Era-code en hoe je de code kunt inwisselen
Bijna alle nieuwe spelers die meedoen aan het spel ontvangen geschenken via Heroic Age-cadeaucodes.
8 goedkoopste cloudopslagproviders
Laten we eens kijken naar de goedkoopste online cloudopslagopties die er zijn. In dit artikel bekijken we de prijzen in absolute termen en per gigabyte (per maand), zodat u kunt kiezen wat het beste bij u past.
Wat is de pond-fout (####) in Excel?
#### in Excel is een veelvoorkomende Excel-fout die in veel verschillende gevallen verschijnt wanneer u gegevens in Excel invoert, functies in Excel gebruikt of formules in Excel invoert.
12 instellingen op Samsung Galaxy-telefoons die u zou moeten wijzigen
Hebt u zojuist een Samsung Galaxy-telefoon gekocht en wilt u deze configureren? Hier zijn 10 instellingen die u kunt wijzigen om uw Samsung-telefoon beter te laten werken.
Laatste Murder Mystery 2-codes en hoe je ze kunt invoeren
Met Code Murder Mystery 2 kunnen spelers meer messenskins voor hun personages kiezen of meer geld krijgen om te gebruiken voor diensten en andere dingen in het spel te kopen.
28 prachtige verjaardagskaartontwerpen met goede wensen voor ouders, echtgenoten, geliefden en vrienden
Voor de verjaardag van je geliefde, ouders, vrienden, broers, zussen, collega's... vergeet naast de cadeautjes niet om verjaardagskaarten met wensen te sturen.
Grappige maar lieve flirtraadsels die het hart van je crush zullen veroveren
Met deze leuke quizzen maak je een sterke indruk en verover je snel en gelukkig het hart van je vlam.
Corki DTCL seizoen 7: Bouw items, standaard Corki Gunner-team
Corki DTCL seizoen 7 heeft bescherming en ondersteuning nodig om de controle te behouden en het vijandelijke team te kunnen vernietigen. Tegelijkertijd moet Corki's uitrusting ook op standaardniveau zijn om effectiever schade te kunnen aanrichten.