Di recente abbiamo pubblicato un articolo sulla sicurezza della password e sulle password utilizzate da molti utenti. La maggior parte delle persone utilizza password deboli. Ma come puoi assicurarti che la tua password sia complessa? Il cracking delle password è parte integrante dell'analisi forense digitale e dei test sulla sicurezza delle informazioni.
In questo articolo, abbiamo compilato i migliori programmi di cracking delle password che possono essere utilizzati dagli amministratori di sistema per verificare la forza delle loro password. Tutte le utilità utilizzano algoritmi diversi e sono applicabili a situazioni diverse. Vediamo innanzitutto alcune informazioni base che vi aiuteranno a capire con cosa avremo a che fare.
Nel campo della sicurezza informatica e della crittografia, il cracking delle password gioca un ruolo molto importante. È il processo di recupero della password per compromettere o ripristinare la sicurezza di un computer o sistema. Allora, perché hai bisogno di imparare i programmi per crackare le password? Per scopi pacifici, è possibile utilizzare l'hacking delle password per recuperare le password dimenticate dagli account online, e questo viene utilizzato anche dagli amministratori di sistema a scopo preventivo su base regolare.
Nella maggior parte dei casi, per decifrare le password viene utilizzata la forza bruta. Il software genera varie opzioni di password e segnala se è stata trovata quella corretta. In alcuni casi, un personal computer può produrre milioni di opzioni al secondo. Il programma per decifrare una password su un PC controlla tutte le opzioni e trova la password reale.
Il tempo necessario per decifrare una password è proporzionale alla lunghezza e alla complessità della password. Pertanto, si consiglia di utilizzare password complesse difficili da indovinare o indovinare. Inoltre, la velocità della forza bruta dipende dalla funzione crittografica utilizzata per generare gli hash delle password. Pertanto, è meglio utilizzare Bcrypt per la crittografia della password anziché MD5 o SHA.
Ecco i principali metodi per indovinare la password utilizzati dagli aggressori:
- Attacco al dizionario- l'attacco utilizza un file che contiene un elenco di parole. Il programma controlla ciascuna parola per trovare il risultato;
- Attacco di forza bruta- non è necessario utilizzare un dizionario, ma piuttosto ripetere tutte le combinazioni di determinati caratteri;
- Attacco al tavolo arcobaleno- l'attacco utilizza hash precalcolati, quindi è più veloce.
Esistono altri metodi per violare le password basati sull'ingegneria sociale, ma oggi ci concentreremo solo sugli attacchi senza interazione dell'utente. Per proteggersi da tali attacchi, è necessario utilizzare solo password complesse. Ora diamo un'occhiata ai migliori strumenti per decifrare le password nel 2017. Questo elenco è pubblicato solo a scopo informativo e non ti incoraggiamo in alcun modo ad hackerare i dati personali di altre persone.
I migliori programmi per crackare le password
1. Giovanni lo Squartatore
John the Ripper è uno degli strumenti di cracking delle password più popolari a disposizione di tutti. È open source e scritto nel linguaggio di programmazione C. Qui vengono raccolti vari metodi per le password di forza bruta.
Il programma è in grado di cercare password utilizzando un hash salvato e supporta vari algoritmi di hashing, incluso il rilevamento automatico dell'algoritmo. John the Ripper fa parte del toolkit di test di sicurezza di Rapid7. Oltre a Linux, sono supportati Windows e MacOS.
2. Aircrack-ng
Aircrack-ng è un insieme di programmi per hackerare e intercettare password dalle reti Wi-Fi. Il programma è uno dei migliori utilizzati dagli hacker. Qui troverai tutto ciò di cui hai bisogno per decifrare la crittografia WEP e WPA, dall'intercettazione dell'hash all'ottenimento di una password già pronta.
La crittografia WEP è particolarmente facile da decifrare; per superare la protezione esistono attacchi PMS e PTW, con i quali è possibile decifrare questo protocollo in pochi minuti se il flusso di traffico attraverso la rete è sufficiente. Quindi usa sempre WPA2 per sicurezza. Sono supportate anche tutte e tre le piattaforme: Linux, Windows, MacOS.
3.RainbowCrack
Come suggerisce il nome, RainbowCrack utilizza le tabelle arcobaleno per decifrare gli hash delle password. Utilizzando tabelle già pronte, l'utilità riduce notevolmente i tempi di hacking. Inoltre, sono disponibili sia utilità GUI che da riga di comando.
Dopo aver completato la fase di calcolo preliminare, questo strumento funziona centinaia di volte più velocemente rispetto alla ricerca convenzionale. Non è necessario creare tu stesso le tabelle; gli sviluppatori le hanno già create per LM, NTLM, MD5 e SHA1. Tutto è disponibile gratuitamente.
Un altro punto importante è l'accelerazione GPU. Utilizzando una scheda video, è possibile ridurre il tempo di calcolo della password di diversi ordini di grandezza. Sono supportate le piattaforme Windows e Linux.
4. THC Idra
A differenza dei programmi sopra elencati, Hydra funziona in modo diverso. Non calcola gli hash. Invece, il programma esegue attacchi di forza bruta su vari protocolli di rete. Qui sono supportati Astrisk, FTP, HTTP, MySQL, XMPP, Telnet, SHH e molti altri. Lo scopo principale dell'utilità sono gli attacchi di forza bruta al modulo di immissione della password.
Questo strumento aiuta i ricercatori nel campo della sicurezza a scoprire quanto sia facile accedere a un sistema remoto. È possibile aggiungere moduli per espandere le funzionalità; sono supportati Linux, Windows, Solaris, FreeBSD e MacOS.
5. HashCat
Secondo gli sviluppatori, questo è lo strumento più veloce per le password di forza bruta. È distribuito come software gratuito e supporta i seguenti algoritmi: md4, md5, LM, SHA, MySQL, Cisco PIX e Unix Crypt.
Esistono versioni dello strumento per la forza bruta sulla CPU, nonché per l'hacking basato su GPU: oclHashcat e cudaHashcat. Oltre all'attacco Bruteforce standard, sono supportati gli attacchi dizionario, gli attacchi ibridi che utilizzano most, tables, Prince e così via. Le piattaforme supportate sono Windows, Linux e MacOS.
6. Piede di porco
Crowbar è un popolare strumento di test della sicurezza delle password. Altri programmi di forza bruta delle password utilizzano nomi utente e password, ma Crowbar ti consente di forzare le chiavi SSH.
Questo strumento open source è progettato per funzionare con protocolli raramente supportati da altri programmi. Attualmente supportati sono VNC, OpenVPN, SSP, NLA. Il programma può essere eseguito su Linux, Windows e MacOS.
7.coWPatty
Si tratta di un'implementazione di un'utilità per la forzatura bruta di una password da WPA/WPA2 PSK basata su un dizionario o tabelle arcobaleno. L'utilizzo delle tabelle arcobaleno accelera notevolmente il funzionamento dell'utilità. Lo standard PSK è ormai utilizzato molto spesso. L'unica cosa positiva è che è molto difficile indovinare la password se inizialmente è stata scelta correttamente.
Anche se non intendi raccogliere password sui computer di altre persone, programmi come LaZagne sono un ottimo modo per pensare a quanto sia vulnerabile la nostra privacy quando i nostri computer non sono sotto il nostro controllo: negli aeroporti, quando vengono registrati come bagagli , nelle officine di riparazione, nel servizio post-vendita e così via.
E se hai intenzione di hackerare le password di altre persone, allora vorrei attirare la tua attenzione sul fatto che LaZagne è un'utilità da riga di comando e puoi trovare varie opzioni interessanti per il suo utilizzo nascosto su macchine remote da estrarre password di destinazione...
Programmi per il recupero della password
Penso che tu abbia già capito di cosa parlerò LaZagne.
Come buone alternative, è possibile richiamare programmi da:, e altri. I programmi hanno nomi abbastanza autoesplicativi (il primo recupera le password dai browser web, il secondo dai client di posta elettronica, il terzo dai client di messaggistica istantanea).
Questi sono programmi assolutamente gratuiti, senza pubblicità e spazzatura, molti di loro hanno un'interfaccia a riga di comando e richiedono risorse molto poco impegnative. Ma funzionano solo su Windows e sono closed source. Se il programma è closed source, allora questo lascia spazio a qualche riflessione: estrae semplicemente le password, oppure estrae le password E le trasferisce a chi ne ha bisogno...
LaZagne è open source e scritto in Python 2, cioè Se sai come impostare il runtime Python e installare le dipendenze necessarie, puoi eseguire direttamente gli script sorgente (come puoi fare su Linux). Per chi non sa come/non vuole capirlo, sono stati compilati dei file eseguibili che contengono anche tutte le dipendenze necessarie.
Parlando di Linux. La versione per questo sistema operativo differisce dalla versione per Windows in quanto supporta meno programmi per i quali può recuperare le password.
A proposito: chi conosce altri programmi funzionali open source simili, scrivine nei commenti, sarà interessante vederli.
Istruzioni per l'utilizzo di LaZagne su Windows
Il programma è molto facile da usare. Se desideri utilizzare il file eseguibile già pronto, vai alla pagina delle versioni: https://github.com/AlessandroZ/LaZagne/releases e seleziona l'ultima versione per Windows (file Windows.zip).
Decomprimere il file scaricato. Apri il prompt dei comandi in Windows ( Vinci+x) e seleziona lì " Riga di comando" O " Riga di comando (amministratore)" In teoria, come descritto nella documentazione ufficiale, quando il programma viene avviato come amministratore, dovrebbe trovare le password di tutti gli utenti, più la password Wi-Fi. Al contrario, da riga di comando come amministratore, il programma non funziona affatto (non trova nulla). Potrebbe essere necessario eseguirlo in un modo diverso, ad esempio:
C:\> esegui come /utente:
C:\> esegui come /utente:
Ma anche questo non ha funzionato per me (visto che il mio account non ha una password, ma per avviarlo in questo modo deve avere una password). Non mi sono preoccupato troppo di questo, ma l'ho semplicemente eseguito dalla riga di comando come utente normale. Andiamo direttamente al punto in cui ha funzionato per me)))
Puoi trascinare il file eseguibile nella finestra della riga di comando che si apre (in modo da non digitarne la posizione a mano). Aggiungi spazio dopo spazio Tutto in modo che assomigli a questo:
Ecco il mio risultato:
LaZagne.exe all-oN
Il file viene salvato non rispetto alla posizione del programma in esecuzione, ma rispetto alla directory di lavoro corrente (quella visibile al prompt della riga di comando). Ad esempio, nel mio caso questo è C:\Users\Alex\, il che significa che il file con le password trovate viene salvato in C:\Users\Alex\results\
Puoi anche usare l'opzione -oJ per salvare in formato JSON o opzione -oA- per salvare in due formati contemporaneamente. A proposito, per me viene salvato normalmente in Json, ma quando scelgo di salvare come testo normale, vengono salvate solo poche password.
Se riscontri problemi anche con questo, puoi utilizzare un banale reindirizzamento dell'output:
LaZagne.exe tutti > logons.txt
Se vuoi cercare le password solo per i browser:
Browser LaZagne.exe
Puoi anche eseguire una ricerca solo per determinati browser, ad esempio Firefox:
Browser LaZagne.exe -f
Per un elenco completo delle opzioni disponibili e del software supportato, consultare la guida del programma.
Conclusione
LaZagne è molto facile da usare e fa un ottimo lavoro nel trovare le password sul tuo computer. Il programma continua a svilupparsi attivamente e vengono regolarmente aggiunti nuovi script che consentono di cercare e recuperare le password per un numero ancora maggiore di programmi.
Puoi proteggerti in una certa misura da questo programma se, ad esempio, utilizzi una password principale per i browser (che la supportano).
Dovresti sempre ricordarti di tali programmi se usi computer pubblici (ad esempio, in un Internet café) o se il tuo computer cade in tuo possesso almeno per un po' di tempo (quando viene registrato come bagaglio, restituito per la riparazione o venduto).
In caso di vendita, non dovresti fare affidamento semplicemente sulla rimozione o sulla formattazione del disco rigido. Gli strumenti forensi (come l'autopsia) sono in grado di recuperare dati. A proposito, Autopsy, oltre alle password, sarà in grado di mostrare cronologia, cookie del browser Web, siti visitati, informazioni sul tempo in cui è stato utilizzato il computer (generate da molti fattori) e molto altro.
Versione: 4.15
Sviluppatore: ampages.
Compatibilità: per Windows 7, 8, XP, Vista, 2000
Interfaccia: RUS (in russo)
Licenza: gratuito
File: Password_Cracker_4.15_DC_26.03.2016.rar
Misurare: 1 MB
Descrizione di Password Cracker 4.15
Password Cracker è un'utilità per il recupero delle password (incluso Internet Explorer). Passa semplicemente il mouse sulla riga della password e al posto degli asterischi ostili vedrai la password desiderata. La password verrà visualizzata nella finestra Password Cracker nel campo Password e, se possibile, nel campo per l'inserimento di una password recuperabile nel programma di qualcun altro. Per Internet Explorer, la password recuperata verrà mostrata anche in un tooltip nel campo di immissione della password.Ripristina in Internet Explorer:
Recupera la password nelle finestre di Internet Explorer. Per recuperare la password è necessario attivare nella pagina web l'elemento di immissione della password (ovvero è sufficiente cliccarci sopra con il mouse). La password recuperata viene visualizzata solo nella finestra Password Cracker. Nota: per recuperare la password è necessario che sia installato Internet Explorer 5.0 o versione successiva.
Ripristina in tutte le finestre:
Password Cracker controlla se il controllo sotto il cursore può contenere una password. E recupera la password solo in quei controlli che, secondo il programma, possono contenere questa password, mentre gli altri controlli vengono ignorati. Quando l'opzione è abilitata, Password Cracker proverà a recuperare la password in tutti i controlli, indipendentemente dal fatto che contenga o meno una password.
Non è un segreto che quasi tutti i browser oggi siano dotati di un gestore di password. Dopo aver inserito login e password sui siti web, quando si accede ai social network (ce ne sono molti... almeno sparatemi), ecc. Questi gestori ti chiedono gentilmente se dovrebbero salvare questi dati nel browser? Le salvi e più tardi, quando accedi da qualche parte, il browser inserisce automaticamente le password salvate, non te ne accorgi nemmeno: molto comodo e pratico...
Passano i mesi e gli anni e arriva un giorno terribile (sempre inaspettato e meschino) in cui al mattino il tuo computer non si avvia, in cui il sistema operativo va in vacanza, insieme a tutti i dati.
Un vicino o uno specialista di turno installerà un nuovo sistema operativo e chi recupererà per te TUTTE LE PASSWORD DI TUTTI I BROWSER?
Esistono diversi modi per uscire da questa situazione. Se la sincronizzazione è stata abilitata nel browser, tutti i dati possono essere ripristinati dal cloud.
Se lo facevi periodicamente backup del profilo il tuo browser Internet, quindi puoi collegarlo a un browser appena installato e tutto andrà di nuovo bene. Esiste ad esempio un programma chiamato MozBackup.
E gli utenti del programma (e del servizio) LastPass non devono affatto preoccuparsi di questo presunto problema.
Ma sai cosa è più sorprendente: letteralmente solo pochi utenti utilizzano tutti i mezzi sopra menzionati per salvare i propri dati. Tutti sono sicuri che questo non li influenzerà e che tutto andrà bene per loro per sempre, sono incantati, non sono una specie di "manichini"!
Oggi voglio descrivervi un altro programma sorprendentemente utile e leggero (solo 0,2 MB di dimensione) chiamato WebBrowserPassView, che in un secondo troverà TUTTE le password in TUTTI i tuoi browser, le visualizzerà in un'unica finestra, ti permetterà di scaricarle e salvarle in diversi formati.
L'utilità WebBrowserPassView sarà utile a tutti a modo suo. Qualcuno "ruba" tutte le password di un amico in un secondo, perché non è nemmeno necessario installare questo programma, è portatile e può funzionare da un'unità flash.
Ad esempio, ho installato cinque browser e risulta che lavori nell'uno o nell'altro. Le password dei siti Web e dei servizi vengono ricordate in diversi browser. A volte è molto scomodo avviare diversi browser e girovagare tra le loro impostazioni o profili alla ricerca della password richiesta.
Per recuperare e salvare le password dai browser, l'utilità WebBrowserPassView non ha eguali in termini di velocità e facilità d'uso...
Scarica WebBrowserPassView
Abbiamo decompresso l'archivio e abbiamo ricevuto una cartella con il programma...
Entriamo e vediamo...
Il programma stesso è sulla destra, un file. I due file a sinistra possono essere eliminati in tutta sicurezza. Ora puoi russificare il programma (anche se ho capito tutto senza la lingua russa).
Scaricalo dal sito ufficiale dei produttori File di russificazione a questo link ed estraendolo dall'archivio scaricato, inseriscilo nella cartella con il programma: dovrebbe risultare così...
Ho preso screenshot misti, a volte dalla versione inglese, a volte da quella russa. Lanciamo il programma cliccando sul collegamento a destra...
...e ricevi subito tutte le password da tutti i browser che hai installato! Naturalmente ho cancellato il mio nello screenshot.
Selezionando una o più righe (tenendo premuto il tasto “Ctrl” sulla tastiera), è possibile salvare login e password per il sito web in diversi formati...
Come puoi vedere, anche in un formato speciale del programma KeePass.
Tutto questo può essere fatto utilizzando il pannello del programma...
Puoi personalizzare l'aspetto delle colonne nella finestra, rimuovere quelle non necessarie, ad esempio...
O nella versione russa...
Ecco un'altra voce del menu del programma...
E andando nelle impostazioni, puoi assegnare i browser da cui verranno recuperate password e accessi...
Un'ottima opportunità per proteggere il tuo telefono da accessi non autorizzati è impostare una password che ti impedirà di aprire lo schermo all'insaputa del proprietario. Puoi scaricare la password di blocco schermo per Android e proteggere il tuo telefono dall'accesso di persone indesiderate. Davvero una delle migliori applicazioni che ti consente di bloccare lo schermo e quindi fornire una protezione affidabile per i tuoi dati e sicurezza per il tuo telefono. Pertanto, l'applicazione garantisce la privacy e impedisce ad altri utenti di accedere al tuo smartphone. Inoltre, questa applicazione ha molte altre funzionalità che rendono l'esperienza di gioco ancora più perfetta. Se scarica la password di blocco schermo per Android Oltre a una protezione eccezionale e affidabile, puoi facilmente ottenere un bellissimo modello di blocco e inserirlo nella schermata principale del tuo smartphone. L'utente può bloccare tutti i suoi dati, ma non far conoscere a nessuno la tua password. Puoi scegliere la schermata di blocco utilizzata sui telefoni del produttore IPhone e goderti un aspetto chic e sofisticato. Inoltre, puoi mettere uno sfondo originale sul tuo smartphone ed evidenziare i tuoi buoni gusti e preferenze.
