دوره های آموزشی آکادمی پی وی لرن (پروژه محور و ویژه بازار کار)



  • ۴
  • شهریور

جلسه ۰۷-۰۱ : چگونگی کرک رمز عبور و هک

  • دسته‌بندی‌ها :
جلسه ۰۷-۰۱ : چگونگی کرک رمز عبور و هک
    • جزئیات
    • نوع محتواآموزشی

      مقدمه

      درود بر شما عزیزان و کاربران سایت پی وی لرن. با آموزش رایگان هک در خدمتتون هستیم.
      در ادامه ی مباحث آموزش هک قانونمند که در جلسات پیش بیان شدند، چگونگی کرک رمز عبور و هک کردن رو خواهیم داشت. کرک کردن رمز عبور به راحتی و با استفاده از ابزار های خاص خود صورت می گیرد. این بخش در دو قسمت تهیه شده است.

      چگونگی کرک رمز عبور و هک

      کرک رمز عبور چیست؟

      روند کرک رمز عبور تلاش برای دسترسی غیر مجاز به سیستم های محدود با استفاده از کلمات عبور مشترک و یا الگوریتمی که کلمه عبور را حدس می زند، می باشد. به عبارت دیگر ، کرک رمز عبور هنر به دست آوردن رمز عبور صحیح است که

      دسترسی به یک سیستم محافظت شده را توسط روش تأیید اعتبار می دهد.

      کرک رمز عبور از چندین تکنیک برای رسیدن به اهداف خود استفاده می کند. فرایند کرک می تواند شامل مقایسه کلمات عبور ذخیره شده در برابر لیست کلمه یا استفاده از الگوریتم هایی برای تولید کلمات عبور باشد.

       

      چگونگی کرک رمز عبور و هک

      چگونگی کرک رمز عبور و هک

      در این آموزش ،شما را به تکنیک های کرک رمز عبور مشترک و اقدامات متقابل که می توانید برای محافظت از سیستم ها در برابر چنین حملاتی اجرا کنید ، معرفی خواهیم کرد.

      مباحث تحت پوشش در این آموزش شامل موارد زیر است.

      • قدرت رمز عبور چیست ؟
      • تکنیک های کرک کردن رمز عبور
      • ابزار کرک رمز عبور
      • رمز عبور کرک شده و اقدامات ضد آن
      • هک کن!

      قدرت رمز عبور چیست؟

      قدرت رمز عبور، اندازه گیری کارایی رمز عبور برای مقاومت در برابر حملات crack است. قدرت رمز عبور تعیین می شود با :

      • طول: تعداد نویسه های حاوی رمز عبور.
      • پیچیدگی: آیا از ترکیبی از حروف، اعداد و نماد استفاده شده است؟
      • غیر قابل پیش بینی بودن: آیا چیزی است که به راحتی توسط مهاجم حدس زده می شود؟

      حال بیایید به یک مثال عملی نگاهی بیندازیم. از سه کلمه عبور برای مثال استفاده خواهیم کرد.

      ۱٫  password

      ۲٫  password1

      ۳٫  password1$ #

      برای این مثال، ما هنگام نمایش گذرواژه از نشانگر قدرت رمز عبور Cpanel استفاده خواهیم کرد.

      تصاویر زیر نشانگر قدرت رمز عبور در هر یک از کلمات فوق است.

       

       

      چگونگی کرک رمز عبور و هک

      چگونگی کرک رمز عبور و هک

      توجه:  قدرت رمز عبور ( password ) استفاده شده است ۱ است که بسیار ضعیف است.

       

      چگونگی کرک رمز عبور و هک

      چگونگی کرک رمز عبور و هک

      توجه داشته باشید: رمز عبور password1 است و قدرت آن ۲۸ است و هنوز هم ضعیف است.

       

      چگونگی کرک رمز عبور و هک

      چگونگی کرک رمز عبور و هک

      توجه: رمز عبور مورد استفاده password1$ # است و قدرت آن ۶۰ است که قوی است.

      هر چه مقدار قدرت پسورد بیش تر باشد، رمز عبور بهتری داریم.

      فرض کنید که ما باید رمزهای عبور بالا را با استفاده از رمزگذاری md5 ذخیره کنیم. در این جا از یک md5convertor آنلاین استفاده خواهیم کرد تا رمزهای عبور ما را به هش های md5 تبدیل کنیم.

      جدول زیر هش های رمز عبور را نشان می دهد.

       

      PasswordMD5 Hashشاخص قدرت Cpanel
      password۵f4dcc3b5aa765d61d8327deb882cf99۱
      password1۷c6a180b36896a0a8c02787eeafb0e4c۲۸
      password1$ #۲۹e08fb7103c327d68327f23d8d9256c۶۰

      اکنون از http://www.md5this.com/ استفاده می کنیم تا هش های بالا را کرک کنیم. تصاویر زیر نشان دهنده نتایج رمز گشایی رمز عبور برای پسوردهای بالا است.

       

      چگونگی کرک رمز عبور و هک

      چگونگی کرک رمز عبور و هک

      همان طور که می توانید از نتایج فوق مشاهده کنید، ما موفق به شکستن گذرواژه های اول و دوم شدیم که قدرت کم تری داشتند و موفق به شکستن رمز سوم که طولانی تر، پیچیده و غیر قابل پیش بینی بود، نشدیم. این مقدار نیروی بالاتری نیاز دارد.

      تکنیک های کرک کردن رمز عبور

      تکنیک هایی وجود دارد که می تواند برای رمزگشایی کلمات عبور استفاده شود. ما مواردی که معمولا استفاده می شوند را در زیر توصیف می کنیم.

      حمله ی Dictionary

      در این نوع حمله از یک فرهنگ لغت یا دیکشنری برای پیدا کردن تطبیق متن ارسالی یا کلید رمزگشایی استفاده می شود. این حمله اغلب در هنگام تلاش برای رمزگشایی رمزهای عبور استفاده می شود.

      حمله Brute force

      این روش شبیه به حمله ی Dictionary است. حمله های Brute force از الگوریتم هایی استفاده می کنند که کاراکترهای عددی و علامت ها را ترکیب می کنند تا رمزهای عبور را برای حمله ارائه دهند. به عنوان مثال، یک کلمه عبور با مقدار “password” با استفاده از حمله ی Brute force می تواند به صورت p@$$word نیز مورد استفاده قرار گیرد.

      حمله Rainbow table

      این روش از هش های پیش محاسبه شده استفاده می کند. بیایید فرض کنیم که ما یک پایگاه داده داریم که کلمه عبور را به عنوان هش md5 ​​ذخیره می کند. می توانیم یک پایگاه داده دیگری ایجاد کنیم که حاوی هش های md5 از رمزهای عبور معمولی است. سپس می توانیم هش رمز عبور را در برابر هش های ذخیره شده در پایگاه داده مقایسه کنیم. اگر یک تطابق پیدا شود، پس ما رمز عبور را داریم.

      Guess

      همان طور که از نامش بر می آید، این روش شامل حدس زدن است. رمزهای عبوری مانند qwerty، password، admin و غیره معمولا استفاده می شوند و یا به عنوان پیش فرض های کلمه عبور تنظیم می شوند. اگر آن ها تغییر نکرده و یا هنگام انتخاب رمزهای عبور کاربر بی دقت باشند، می توان آن ها را به راحتی به خطر انداخت.

      Spidering

      اکثر سازمان ها از کلمه عبور استفاده می کنند که حاوی اطلاعات شرکت است. این اطلاعات را می توان در وب سایت های شرکت، رسانه های اجتماعی مانند فیس بوک، توییتر و غیره پیدا کرد. Spidering اطلاعاتی را از این منابع جمع آوری می کند تا لیست های کلمه ایجاد کند.

      سپس لیست کلمه برای انجام حملات dictionary و brute force مورد استفاده قرار می گیرد.

      نمونه ای برای حمله لیست کلمه Dictionary در spidering

      مثال : 

      ابزار کرک رمز عبور

      این ابزارها برنامه هایی نرم افزاری هستند که برای کرک کلمات عبور کاربر استفاده می شوند. حال به ابزاری مشابه مثال بالا در مورد قدرت رمز عبور نگاه می اندازیم. وب سایت www.md5this.com  از Rainbow table برای کرک کلمات عبور استفاده می کند.

      ما به برخی از ابزارهایی که به طور معمول استفاده می شود، می پردازیم.

      ابزار John the Ripper

      ابزار John the Ripper از دستور prompt برای کرک کلمات عبور استفاده می شود. این کار را، برای کاربران پیشرفته که راحت با دستورات کار می کنند مناسب می سازد. از wordlist برای کرک استفاده می کند. این برنامه رایگان است،

      اما لیست کلمه باید خریداری شود. این لیست کلمه ی جایگزین رایگان دارد که می توانید استفاده کنید.

      برای اطلاعات بیش تر و نحوه استفاده از وب سایت محصول http://www.openwall.com/john/ مراجعه کنید.

      Cain & Abel

      Cain & Abel بر روی ویندوز اجرا می شود. آن برای بازیابی کلمه عبور برای حساب های کاربری, بازیابی کلمه عبور Microsoft Access; شبکه sniffing ، و غیره استفاده می شود. بر خلاف John the Ripper، ابزار Cain & Abel از یک رابط کاربر گرافیکی استفاده می کند. این امر در میان کاربران جدید و script kiddies بسیار رایج است و  دلیلش سادگی استفاده از آن است. برای اطلاعات بیش تر و نحوه استفاده به وب سایت http://www.softpedia.com/get/Security/Decrypting-Decoding/Cain-and-Abel.shtml مراجعه کنید.

      Ophcrack

      Ophcrack یک کراکر رمز عبور ویندوز کراس پلت فرم است که با استفاده از rainbow tables کلمات عبور را کرک می کند. Ophcrack در ویندوز، لینوکس و سیستم عامل مک اجرا می شود. همچنین دارای یک ماژول برای حملات brute force است. برای کسب اطلاعات بیش تر و نحوه استفاده از آن از وب سایت محصول http://ophcrack.sourceforge.net/ بازدید کنید.

      کلام پایانی

      در این قسمت از آموزش هک قانونمند راجع به کرک کردن رمز عبور و همچنین تکنیک های کرک کردن رمز عبور صحبت نمودیم . در ادامه و جلسه ی بعد مثالی عملی برای کرک پسورد رو بررسی می نماییم.

      پس با ما در ادامه جلسات از سایت پی وی لرن همراه باشید.

      QR:  جلسه ۰۷-۰۱ : چگونگی کرک رمز عبور و هک
      به اشتراک بگذارید