Come scoprire password, varie tecniche

By | Settembre 30, 2020
come scoprire password

Come scoprire password o tecnicamente, come eseguire il cracking delle password è il processo di tentare di ottenere l’accesso non autorizzato a sistemi limitati utilizzando password comuni o algoritmi che indovinano le password. In altre parole, è l’arte di decriptare password corretta che dà accesso a un sistema protetto da un metodo di autenticazione.

Il cracking delle password impiega una serie di tecniche per raggiungere i suoi obiettivi. Il processo di cracking può comportare il confronto delle password memorizzate con l’elenco di parole o l’utilizzo di algoritmi per generare password che corrispondono.

In questo tutorial, ti presenteremo le comuni tecniche su come trovare password e le contromisure che puoi implementare per proteggere i sistemi da tali attacchi.

Come scoprire password, indice

  • Cos’è la sicurezza della password?
  • Tecniche per craccare password
  • Programmi per trovare password
  • Contromisure per non farsi hackerare password
  • Come scoprire una password

Cos’è la sicurezza della password?

La forza della password è la misura dell’efficienza di una password per resistere agli attacchi di cracking delle password. La forza di una password è determinata da;

  • Lunghezza: il numero di caratteri contenuti nella password.
  • Complessità: usa una combinazione di lettere, numeri e simboli?
  • Imprevedibilità: è qualcosa che può essere indovinato facilmente in un attacco?

Vediamo ora un esempio pratico. Useremo tre password vale a dire

  • password
  • password1
  • #password1$

 Per questo esempio, useremo l’indicatore di sicurezza della password di Cpanel durante la creazione delle password. Le immagini seguenti mostrano i punti di forza della password di ciascuna delle password sopra elencate.


Nota: la password utilizzata è la parola password, la forza è 1 ed è molto debole.

Nota: la password utilizzata è password1, la forza è 28 ed è ancora debole.

Nota: la password utilizzata è #password1$, la forza è 60 ed è forte.

Maggiore è il numero di sicurezza, migliore è la password.

Supponiamo di dover memorizzare le nostre password di cui sopra utilizzando la crittografia md5. Useremo un generatore di hash md5 online per convertire le nostre password in hash md5.

 La tabella seguente mostra gli hash delle password

Parola d’ordine MD5 Hash Indicatore di forza del pannello
parola d’ordine 5f4dcc3b5aa765d61d8327deb882cf99 1
password 1 7c6a180b36896a0a8c02787eeafb0e4c 28
# password1 $ 29e08fb7103c327d68327f23d8d9256c 60

Ora useremo http://www.md5this.com/ per decifrare gli hash sopra. Le immagini seguenti mostrano i risultati del cracking delle password per le password precedenti.

Come puoi vedere dai risultati sopra, siamo riusciti a decifrare la prima e la seconda password che avevano numeri di sicurezza inferiori. Non siamo riusciti a decifrare la terza password che era più lunga, complessa e imprevedibile. Aveva un numero di forza maggiore.

Tecniche di cracking delle password

Esistono numerose tecniche che possono essere utilizzate per decifrare le password. Descriveremo di seguito quelli più comunemente usati;

  • Attacco dizionario: questo metodo prevede l’uso di un elenco di parole da confrontare con le password degli utenti.
  • Attacco di forza bruta: questo metodo è simile all’attacco del dizionario. Gli attacchi di forza bruta utilizzano algoritmi che combinano caratteri e simboli alfanumerici per creare password per l’attacco. Ad esempio, una password del valore “password” può anche essere provata come parola p @ $$ utilizzando l’attacco di forza bruta.
  • Rainbow table attack: questo metodo utilizza hash precalcolati. Supponiamo di avere un database che memorizza le password come hash md5. Possiamo creare un altro database che abbia hash md5 delle password di uso comune. Possiamo quindi confrontare l’hash della password che abbiamo con gli hash memorizzati nel database. Se viene trovata una corrispondenza, allora abbiamo la password.
  • Indovina: come suggerisce il nome, questo metodo implica indovinare. Le password come qwerty, password, admin, ecc. Sono comunemente utilizzate o impostate come password predefinite. Se non sono state modificate o se l’utente è incauto nella selezione delle password, possono essere facilmente compromesse.
  • Spidering: la maggior parte delle organizzazioni utilizza password che contengono informazioni aziendali. Queste informazioni possono essere trovate sui siti Web dell’azienda, sui social media come Facebook, Twitter, ecc. Spidering raccoglie informazioni da queste fonti per creare elenchi di parole. L’elenco di parole viene quindi utilizzato per eseguire attacchi di dizionario e forza bruta.

Elenco di parole di attacco del dizionario di esempio Spidering

1976 <anno di nascita del fondatore>

smith jones <nome fondatore>

acme <nome azienda / iniziali>

costruito | per | durare <parole nella visione / missione aziendale>

golf | scacchi | calcio <hobby fondatori>

Programmi trova password

Si tratta di programmi software utilizzati per trovare le password degli utenti. Abbiamo già esaminato uno strumento simile nell’esempio precedente sui punti di forza delle password. Il sito web www.md5this.com utilizza una rainbow table per decifrare le password. Vedremo ora alcuni degli strumenti comunemente usati

1. Come trovare la password con John the Ripper

John the Ripper utilizza il prompt dei comandi per decifrare le password. Questo lo rende adatto per utenti avanzati che hanno dimestichezza con i comandi. Utilizza un elenco di parole per scoprire password. Il programma è gratuito, ma è necessario acquistare l’elenco delle parole. Ha elenchi di parole alternative gratuite che puoi utilizzare. Visitare il sito Web del prodotto https://www.openwall.com/john/ per ulteriori informazioni e su come utilizzarlo.

2. Programma per trovare password Cain & Abel

Cain & Abel gira su Windows. Viene utilizzato per trovare password per account utente, ripristino di password di Microsoft Access; sniffing di rete, ecc. A differenza di John the Ripper, Cain & Abel utilizza un’interfaccia utente grafica. È molto comune tra i neofiti e gli script kiddie per la sua semplicità d’uso. Visitare il sito Web del prodotto http://www.softpedia.com/get/Security/Decrypting-Decoding/Cain-and-Abel.shtml per ulteriori informazioni e su come utilizzarlo.

3. Come scoprire la password con Ophcrack

Ophcrack è un cracker di password Windows multipiattaforma che utilizza rainbow table per craccare password. Funziona su Windows, Linux e Mac OS. Ha anche un modulo per attacchi di forza bruta tra le altre caratteristiche. Visitare il sito Web del prodotto http://ophcrack.sourceforge.net/  per ulteriori informazioni e su come utilizzarlo.

Come non farsi rubare la password

  • Un’organizzazione può utilizzare i seguenti metodi per ridurre le possibilità che le password vengano violate.
  • Evita password brevi e facilmente prevedibili.
  • Evita di utilizzare password con schemi prevedibili come 11552266.
  • Le password archiviate nel database devono essere sempre crittografate.
  • La maggior parte dei sistemi di registrazione dispone di indicatori di sicurezza della password, le organizzazioni devono adottare criteri che favoriscano numeri elevati di sicurezza della password.

Come trovare le password

In questo scenario pratico, creeremo un account Windows con una semplice passwordWindows utilizza gli hash NTLM per crittografare le password. Per farlo useremo lo strumento cracker NTLM in Cain and Abel.

Cain e Abel cracker possono essere usati per decifrare le password usando;

Useremo l’attacco dizionario in questo esempio. Dovrai scaricare l’elenco di parole di attacco del dizionario qui 10k-Most-Common.zip

Per questa dimostrazione, abbiamo creato un account chiamato Account con la password qwerty su Windows 7.

come scoprire password

Come craccare una password

  • Apri Cain & Abel, otterrai la seguente schermata principale

  • Assicurati che la scheda cracker sia selezionata come mostrato sopra
  • Fare clic sul pulsante Aggiungi nella barra degli strumenti.

  • Apparirà la seguente finestra di dialogo

  • Gli account utente locali verranno visualizzati come segue. Nota che i risultati mostrati saranno degli account utente sulla tua macchina locale.

  • Fai clic con il pulsante destro del mouse sull’account che desideri craccare. Per questo tutorial, useremo Account come account utente.

come scoprire password

  • Apparirà la seguente schermata

come scoprire password

  • Fare clic con il tasto destro sulla sezione del dizionario e selezionare Aggiungi al menu dell’elenco come mostrato sopra
  • Sfoglia fino al file 10k più common.txt che hai appena scaricato

come scoprire password

  • Fare clic sul pulsante di avvio
  • Se l’utente ha utilizzato una password semplice come qwerty, dovresti essere in grado di ottenere i seguenti risultati.

come scoprire password

  • Nota: il tempo necessario per decifrare la password dipende dalla forza della password, dalla complessità e dalla potenza di elaborazione del tuo computer.
  • Se la password non viene violata utilizzando un attacco dizionario, puoi provare attacchi di forza bruta o crittoanalisi.

Conclusione

  • Il cracking delle password è l’arte di recuperare le password memorizzate o trasmesse.
  • La sicurezza della password è determinata dalla lunghezza, complessità e imprevedibilità di un valore di password.
  • I programmi per scoprire password includono attacchi dizionario, forza bruta, rainbow table, spidering e cracking.
  • Gli strumenti di cracking delle password semplificano il processo quando si desidera scoprire password.

Leggi anche: Come hackerare una rete WiFi

Author: Presi Fulvio

Mi piacciono gli smartphone, computer e videogiochi. Come hobby scrivo per GuideSmartPhone articoli basati principalmente sulla tecnologia. Spero di esservi stato d'aiuto!