Jannah-thema Licentie is niet gevalideerd. Ga naar de pagina met thema-opties om de licentie te valideren. U heeft een enkele licentie nodig voor elke domeinnaam.

Ik heb getest hoe ik mijn eigen wachtwoorden kon kraken: dit is wat ik heb geleerd over hun beveiliging

Wachtwoorden zijn de eerste verdedigingslinie geworden voor het beschermen van uw digitale accounts, maar heeft u zich ooit afgevraagd hoe gemakkelijk ze te hacken zijn? Het maken van sterke, unieke wachtwoorden is niet zomaar een tip, het is een noodzaak om uw gegevens te beveiligen.

Om er zeker van te zijn dat de wachtwoorden die ik gebruik effectief zijn, besloot ik te proberen mijn eigen wachtwoorden te kraken met behulp van een open source-tool. Ik heb drie verschillende wachtwoorden getest om te begrijpen hoe veelvoorkomende aanvallen werken en om te ontdekken wat een wachtwoord veiliger maakt tegen hackers.

In dit artikel deel ik mijn bevindingen en praktische tips om de beveiliging van je wachtwoorden te verbeteren en je gegevens veilig te houden.

Ik heb getest hoe ik mijn eigen wachtwoorden kon kraken: dit is wat ik heb geleerd over hun beveiliging

Wat betekent het om een ​​wachtwoord te breken?

Wat betekent het om een ​​wachtwoord te breken?

Wanneer u een account aanmaakt via een online dienst, zal de provider uw inloggegevens doorgaans (en hopelijk ook) op hun server coderen. Dit wordt gedaan met behulp van een algoritme om “fragmentatie“, wat een willekeurige reeks letters en cijfers is die uniek is voor uw wachtwoord. Natuurlijk is het niet echt willekeurig – het is een heel specifieke reeks tekens die alleen je wachtwoord kan genereren – maar voor het ongetrainde oog ziet het eruit als een puinhoop.

Het omzetten van een woord in een hash is veel sneller en gemakkelijker dan het opnieuw ‘deconstrueren’ van de hash in een woord. Wanneer u dus een wachtwoord instelt, voert de service waarbij u inlogt het wachtwoord via een hash uit en slaat het resultaat vervolgens op de server op.

Als het opgegeven wachtwoordbestand lekt, zullen hackers proberen de inhoud ervan te achterhalen met behulp van een wachtwoordkraker. Omdat het coderen van een wachtwoord sneller is dan het decoderen ervan, zullen hackers een systeem opzetten dat potentiële wachtwoorden als invoer gebruikt, deze codeert met dezelfde methode die de server gebruikt, en het resultaat vervolgens vergelijkt met een wachtwoorddatabase.

Als de hashwaarde van een mogelijk wachtwoord overeenkomt met gegevens in de database, weet de hacker dat elk resultaat overeenkomt Mogelijk wachtwoord Wat geprobeerd is.

Hoe ik mijn wachtwoorden hackte met HashCat

Laten we beginnen met het opsplitsen van enkele wachtwoorden die u heeft gemaakt om te zien hoe gemakkelijk het is. Om dit te doen, zal ik gebruiken Hashcat, een gratis en open source-applicatie voor het kraken van wachtwoorden die voor iedereen beschikbaar is.

In deze tests zal ik de volgende wachtwoorden kraken:

  1. 123456Een klassiek wachtwoord en een cybersecurity-nachtmerrie: 123456 is het meest gebruikte wachtwoord ter wereld. Ze telde North Pass 3 miljoen accounts gebruikten 123456 wachtwoorden, waarvan 1.2 miljoen bedoeld waren om accounts op bedrijfsniveau te beschermen.
  2. Susan48!: een wachtwoord dat de patronen volgt die de meeste gebruikers gebruiken om een ​​veilig wachtwoord te maken. Dit trefwoord voldoet doorgaans aan de basisvereisten voor wachtwoordhygiëne, maar zoals we later zullen onderzoeken, bevat het enkele kritieke kwetsbaarheden die kunnen worden misbruikt.
  3. t9^kJ$2q9a: Een wachtwoord dat u hebt gemaakt met behulp van Bitwarden-generator. Het is ingesteld om een ​​wachtwoord van 10 tekens lang te genereren met hoofdletters en kleine letters, symbolen en cijfers.

Nu we onze wachtwoorden hadden, heb ik ze gecodeerd met MD5. Zo verschijnen de wachtwoorden als ze in een wachtwoordbestand staan ​​dat op de server is opgeslagen:

  1. 123456: e10adc3949ba59abbe56e057f20f883e
  2. Susan48!: df1ce7227606805745ee6cbc644ecbe4
  3. t9^kJ$2q9a: 450e4e0ad3ed8766cb2ba83081c0a625

Nu is het tijd om het af te breken.

Voer een eenvoudige pauze uit met behulp van een woordenboekaanval

Voer een eenvoudige pauze uit met behulp van een woordenboekaanval

Laten we beginnen, laten we beginnen Woordenboek aanval, een van de meest voorkomende manieren om wachtwoorden aan te vallen. Het is een eenvoudige aanval waarbij ik een lijst met mogelijke wachtwoorden maak, Hashcat vertel om ze naar MD5 te converteren en kijk of een van deze overeenkomt met de drie bovenstaande vermeldingen. Voor dit experiment gebruik ik het bestand “rockyou.txt” als woordenboek, wat een van de grootste wachtwoordlekken in de geschiedenis was.

Om het hackproces te starten, ga ik naar de map waarin Hashcat zich bevindt, klik met de rechtermuisknop op een lege ruimte en druk vervolgens op ‘Openen in Terminal’. Nu Terminal open is en is ingesteld op de Hashcat-map, roep ik de Hashcat-applicatie aan met behulp van de volgende opdracht:

.\hashcat -m 0 -a 0 passwordfile.txt rockyou.txt -o results.txt

Dit is wat de opdracht doet:

  1. .\hashcat Hashcat gebeld.
  2. -m 0: Specificeert de codering die we zullen gebruiken. In dit geval zullen we gebruiken MD5, die wordt vermeld als 0 in het Hashcat-helpdocument.
  3. -een 0: Specificeert de aanval die we willen uitvoeren. Het Hashcat-helpdocument vermeldt de woordenboekaanval als 0, dus we noemen deze hier.
  4. wachtwoordbestand.txt rockyou.txtHet eerste bestand bevat de drie gecodeerde wachtwoorden die we eerder hebben voorbereid. Het tweede bestand is de volledige rockyou-wachtwoorddatabase.
  5. -o resultaten.txt: Deze variabele bepaalt waar we het resultaat plaatsen. De opdracht die ik deed, plaatst de gehackte wachtwoorden in een TXT-bestand met de naam "resultaten".

Ondanks de enorme omvang van rockyou scande Hashcat de volledige inhoud in zes seconden. In het resultatenbestand zei Hashcat dat het wachtwoord 123456 kon kraken, maar de wachtwoorden van Susan en Bitwarden bleven ongekraakt. Dit komt omdat wachtwoord 123456 door iemand anders in het rockyou.txt-bestand werd gebruikt, maar niemand anders de wachtwoorden van Susan of Bitwarden gebruikte, wat betekent dat ze uniek genoeg waren om veilig te blijven tegen deze aanval.

Voer complexere hackingen uit met brute force-aanvallen en maskers

Voer complexere hackingen uit met brute force-aanvallen en maskers

Woordenboekaanvallen werken wanneer iemand hetzelfde wachtwoord gebruikt in een grotere lijst met wachtwoorden. Het is snel en gemakkelijk te doen, maar dat kan niet Wachtwoord hacken Niet gevonden in het woordenboek. Als we onze wachtwoorden echt willen testen, moeten we daarom gebruiken brute force-aanvallen.

Als woordenboekaanvallen gaan over het nemen van een vooraf gedefinieerde lijst en deze één voor één transformeren, doen brute force-aanvallen hetzelfde, maar dan met alle mogelijke combinaties. Het is moeilijker te implementeren en duurt langer, maar uiteindelijk zal elk wachtwoord kapot gaan. Zoals we snel zullen zien, kan deze mogelijkheid soms erg lang duren.

Dit is het commando dat ik gebruikte om de "echte" brute force-aanval uit te voeren:

.\hashcat -m 0 -a 3 target.txt --increment ?a?a?a?a?a?a?a?a?a?a -o output.txt

Dit is wat het commando doet:

  • -naar 3: Deze variabele specificeert de aanval die we willen uitvoeren. De helpdocumentatie van Hashcat vermeldt brute force-aanvallen als 3, dus we noemen het hier.
  • doel.txt: Het bestand dat het gecodeerde wachtwoord bevat dat we willen hacken.
  • - aanwas: Dit vertelt Hashcat om alle wachtwoorden te proberen die uit één letter bestaan, dan twee, dan drie, enzovoort, totdat we de oplossing krijgen.
  • ?a?a?a?a?a?a?a?a?a?a?a?a?a: Dit wordt een ‘masker’ genoemd. Met maskers kunnen we Hashcat vertellen welke karakters waar moeten worden gebruikt. Elk vraagteken geeft de positie van een letter in het wachtwoord aan, en de letter geeft aan wat we op elke positie proberen te doen. De letter ‘a’ staat voor hoofdletters en kleine letters, cijfers en symbolen, dus dit masker zegt: ‘Probeer alles in elk vakje.’ Het is een vreselijk masker, maar we zullen het later goed gebruiken.
  • -o uitvoer.txt: Deze variabele bepaalt waar we het resultaat plaatsen. Mijn opdracht plaatst de kapotte wachtwoorden in een TXT-bestand met de naam "output".

Zelfs met dit vreselijke masker werd wachtwoord 123456 binnen 15 seconden gekraakt. Hoewel dit het meest voorkomende wachtwoord is, is het ook een van de zwakste.

Het wachtwoord was “Susan48!” Veel beter: mijn computer zei dat het vier dagen zou duren om het blindelings kapot te maken. Er was echter één probleem. Weet je nog dat ik zei dat Susans wachtwoord enkele kritieke fouten bevatte? De grootste is dat het wachtwoord op een voorspelbare manier is ontworpen.

Wanneer we een wachtwoord aanmaken, plaatsen we meestal specifieke elementen op specifieke plaatsen. Je kunt je voorstellen dat de persoon die het wachtwoord maakt Susan is, die aanvankelijk 'susan' probeerde te gebruiken, maar werd gevraagd hoofdletters en cijfers toe te voegen. Om het gemakkelijker te maken om te onthouden, heeft hij de eerste letter met een hoofdletter geschreven en aan het einde cijfers toegevoegd. Vervolgens heeft een van de inlogdiensten mogelijk om een ​​code gevraagd, dus onze wachtwoordgenerator heeft deze uiteindelijk ingevoegd.

Daarom kunnen we het masker gebruiken om Hashcat te vertellen dat hij alleen bepaalde tekens op bepaalde plaatsen moet proberen om te profiteren van hoe voorspelbaar mensen zijn bij het maken van een wachtwoord. In dit masker zal “?u” op deze positie alleen hoofdletters gebruiken, “?l” alleen kleine letters en “?a” staat voor een willekeurige letter:

.\hashcat -m 0 -a 3 -1 ?a target.txt ?u?l?l?l?l?a?a?a -o output.txt

Met behulp van dit masker kraakt Hashcat het wachtwoord in drie minuten en tien seconden, wat veel sneller is dan vier dagen.

Het door Bitwarden gegenereerde wachtwoord is tien tekens lang en gebruikt geen voorspelbare patronen, dus ik moet een brute force-aanval uitvoeren zonder enig masker om het te doorbreken. Helaas, toen ik Hashcat vroeg om dit te doen, gaf het een foutmelding dat het aantal mogelijke combinaties de limiet van gehele getallen overschreed. Hij zegt IT-beveiligingsgoeroe Het duurt drie jaar om een ​​Bitwarden-wachtwoord te kraken, dus dat is voor mij goed genoeg.

Hoe u uw accounts kunt beschermen tegen het kraken van wachtwoorden

Wat kunnen we van dit alles leren? De belangrijkste factoren die mij ervan weerhielden een Bitwarden-wachtwoord te kraken waren de lengte (10 tekens) en de onvoorspelbaarheid ervan. Probeer daarom bij het maken van wachtwoorden deze zo lang mogelijk te maken en door het hele wachtwoord heen symbolen, cijfers en hoofdletters toe te voegen. Dit voorkomt dat hackers maskers gebruiken om de locatie van elk item te voorspellen en maakt het moeilijker om te hacken.

U kent waarschijnlijk al oude uitspraken over wachtwoorden, zoals ‘Gebruik een reeks tekens’ en ‘Maak het zo lang mogelijk’. We hopen dat je weet waarom mensen deze handige tips aanbevelen: ze maken het verschil tussen een snel gekraakt wachtwoord en een veilig wachtwoord. Je kunt nu bekijken Hoe deze eenvoudige aanpassingen mijn wachtwoorden veiliger en gemakkelijker maakten.

Ga naar de bovenste knop