Di recente abbiamo pubblicato un articolo sulla sicurezza delle password, nonché sulle password utilizzate da molti utenti. La maggior parte delle persone usa password deboli. Ma come ti assicuri che la tua password sia sicura? Il cracking delle password è parte integrante dell'analisi forense digitale e dei test di sicurezza delle informazioni.
In questo articolo, abbiamo compilato il miglior software di cracking delle password che può essere utilizzato dagli amministratori di sistema per testare la forza delle loro password. Tutte le utilità utilizzano algoritmi diversi e sono applicabili a situazioni diverse. Diamo prima un'occhiata ad alcune informazioni di base per aiutarti a capire con cosa abbiamo a che fare.
Nel campo della sicurezza informatica e della crittografia, il cracking delle password gioca un ruolo molto importante. È un processo di recupero della password allo scopo di violare o ripristinare la sicurezza di un computer o sistema. Quindi, perché hai bisogno di imparare i programmi di cracking delle password? Per scopi pacifici, è possibile utilizzare il cracking delle password per recuperare le password dimenticate dagli account online, inoltre viene utilizzato regolarmente dagli amministratori di sistema per la prevenzione.
Nella maggior parte dei casi, la forza bruta viene utilizzata per decifrare le password. Il software genera varie opzioni di password e segnala se è stata trovata quella corretta. In alcuni casi, un personal computer è in grado di produrre milioni di opzioni al secondo. Il programma per decifrare una password su un PC controlla tutte le opzioni e trova la vera password.
Il tempo necessario per decifrare una password è proporzionale alla lunghezza e alla complessità di tale password. Pertanto, si consiglia di utilizzare password complesse difficili da indovinare o indovinare. Inoltre, la velocità di enumerazione dipende dalla funzione crittografica utilizzata per generare gli hash delle password. Pertanto, è meglio utilizzare Bcrypt per la crittografia della password, piuttosto che MD5 o SHA.
Ecco le principali tecniche di forza bruta delle password utilizzate dagli aggressori:
- attacco dizionario- l'attacco utilizza un file che contiene un elenco di parole. Il programma controlla ciascuna delle parole per trovare il risultato;
- Attacco di forza bruta- non puoi usare un dizionario, ma ordinare tutte le combinazioni di caratteri dati;
- Attacco al tavolo arcobaleno- L'attacco utilizza hash precalcolati, quindi è più veloce.
Esistono altri metodi di cracking delle password basati sull'ingegneria sociale, ma oggi ci concentreremo solo sugli attacchi senza l'intervento dell'utente. Per proteggersi da tali attacchi, dovrebbero essere utilizzate solo password complesse. Ora diamo un'occhiata ai migliori strumenti di cracking delle password del 2017. Questo elenco è pubblicato solo a scopo informativo e non incoraggiamo in alcun modo a decifrare i dati personali di qualcun altro.
I migliori programmi per decifrare le password
1 Giovanni lo Squartatore
John the Ripper è uno degli strumenti di cracking delle password più popolari disponibili per tutti. È open source e scritto nel linguaggio di programmazione C. Qui sono raccolti vari metodi di enumerazione delle password.
Il programma è in grado di selezionare le password utilizzando l'hash memorizzato e supporta vari algoritmi di hashing, incluso il rilevamento automatico dell'algoritmo. John the Ripper fa parte del toolkit di test di sicurezza Rapid7. Oltre a Linux, sono supportati Windows e MacOS.
2. Aircrack-ng
Aircrack-ng è un insieme di programmi per decifrare e intercettare le password dalle reti wifi. Il programma è uno dei più utilizzati dagli hacker. Ha tutto il necessario per decifrare la crittografia WEP e WPA, dall'intercettazione dell'hash all'ottenimento di una password già pronta.
La crittografia WEP è particolarmente facile da violare e ci sono attacchi PMS e PTW per superare la protezione, con i quali è possibile violare questo protocollo in pochi minuti con un flusso di traffico sufficiente attraverso la rete. Quindi usa sempre WPA2 per sicurezza. Sono supportate anche tutte e tre le piattaforme: Linux, Windows, MacOS.
3.Arcobaleno
Come suggerisce il nome, RainbowCrack utilizza le tabelle arcobaleno per decifrare gli hash delle password. Con l'aiuto di tabelle già pronte, l'utilità riduce notevolmente i tempi di hacking. Inoltre, sono presenti sia un'interfaccia grafica che utilità a riga di comando.
Dopo aver completato la fase di pre-calcolo, questo strumento funziona centinaia di volte più velocemente rispetto a un'enumerazione normale. Non è necessario creare le tabelle da soli, gli sviluppatori le hanno già create per LM, NTLM, MD5 e SHA1. Tutto è disponibile gratuitamente.
Un altro punto importante è l'accelerazione della GPU. Utilizzando una scheda video, puoi ridurre il tempo di calcolo della password di diversi ordini di grandezza. Sono supportate le piattaforme Windows e Linux.
4.THC Idra
A differenza dei programmi sopra elencati, Hydra funziona in modo diverso. Non calcola gli hash. Invece, il programma esegue attacchi di forza bruta su vari protocolli di rete. Astrisk, FTP, HTTP, MySQL, XMPP, Telnet, SHH e molti altri sono supportati qui. Lo scopo principale dell'utilità sono gli attacchi di forza bruta al modulo di immissione della password.
Questo strumento aiuta i ricercatori della sicurezza a scoprire quanto sia facile accedere a un sistema remoto. È possibile aggiungere moduli per estendere le funzionalità e sono supportati Linux, Windows, Solaris, FreeBSD e MacOS.
5.HashCat
Secondo gli sviluppatori, questo è lo strumento più veloce per le password di forza bruta. È distribuito come software gratuito e supporta i seguenti algoritmi: md4, md5, LM, SHA, MySQL, Cisco PIX e Unix Crypt.
Esistono versioni dello strumento per l'iterazione su CPU e hacking basato su GPU: oclHashcat e cudaHashcat. Oltre all'attacco Bruteforce standard, sono supportati attacchi a dizionario, attacchi ibridi sulla maggior parte, tabelle, Prince e così via. Le piattaforme supportate sono Windows, Linux e MacOS.
6. Piede di porco
Crowbar è un popolare strumento di test della sicurezza delle password. Altri cracker di password utilizzano nomi utente e password, ma il piede di porco ti consente di decifrare le chiavi SSH.
Questo strumento open source è progettato per funzionare con protocolli raramente supportati da altri programmi. Attualmente sono supportati VNC, OpenVPN, SSP, NLA. Il programma può essere eseguito su Linux, Windows e MacOS.
7.coWPatty
Questa è un'implementazione di un'utilità di cracking delle password PSK WPA/WPA2 basata su un dizionario o tabelle arcobaleno. L'uso delle tabelle arcobaleno velocizza notevolmente l'utilità. Lo standard PSK è usato molto spesso ora. L'unica buona notizia è che è molto difficile risolvere la password se inizialmente è stata scelta correttamente.
Anche se non hai intenzione di raccogliere password sui computer di altre persone, programmi come LaZagne sono un ottimo modo per pensare a quanto sia vulnerabile la nostra privacy quando i nostri computer non sono sotto il nostro controllo: negli aeroporti, quando vengono registrati come bagagli , nelle officine di riparazione, nel post vendita, ecc.
E se hai intenzione di decifrare le password di altre persone, noterò che LaZagne è un'utilità da riga di comando e puoi trovare varie opzioni interessanti per il suo uso nascosto su macchine remote per estrarre password di destinazione ...
Software di recupero password
Penso che tu abbia già capito di cosa parlerò La Zagne.
Come buone alternative, puoi richiamare programmi da: e altri. I programmi hanno nomi abbastanza eloquenti (il primo estrae le password dai browser web, il secondo - dai client di posta elettronica, il terzo - dai client per la messaggistica istantanea).
Questi sono programmi assolutamente gratuiti, senza pubblicità e spazzatura, molti di loro hanno un'interfaccia a riga di comando, sono molto poco impegnativi per le risorse. Ma funzionano solo sotto Windows e hanno un codice sorgente chiuso. Se il programma ha un codice sorgente chiuso, allora questo lascia spazio alla riflessione: estrae semplicemente le password, oppure estrae le password E le passa a chi ne ha bisogno...
LaZagne è open source, il programma è scritto in Python 2, cioè se sai come impostare il runtime Python e installare le dipendenze necessarie, puoi eseguire direttamente gli script di origine (come si fa su Linux). Per chi non sapesse come/non volesse capire, vengono raccolti file eseguibili, che contengono anche tutte le dipendenze necessarie.
A proposito di Linux. La versione per questo sistema operativo differisce dalla versione per Windows in quanto supporta un numero minore di programmi per i quali può recuperare le password.
A proposito: chi conosce altri programmi funzionali open source simili - scrivi di loro nei commenti, sarà interessante vederli.
Istruzioni per l'utilizzo di LaZagne su Windows
Il programma è molto facile da usare. Se desideri utilizzare un eseguibile già pronto, vai alla pagina dei rilasci: https://github.com/AlessandroZ/LaZagne/releases e seleziona l'ultima versione per Windows (file Windows.zip).
Decomprimi il file scaricato. Apri un prompt dei comandi in Windows ( vinci+x) e seleziona lì " Riga di comando" o " Prompt dei comandi (amministratore)". In teoria, come descritto nella documentazione ufficiale, quando esegui il programma come amministratore, dovrebbe trovare le password per tutti gli utenti, più la password per il Wi-Fi. Al contrario, da riga di comando per conto dell'amministratore, il programma non funziona affatto (non trova nulla). Potrebbe essere necessario eseguirlo in un modo diverso, ad esempio:
C:\> runas /utente:
C:\> runas /utente:
Ma non ha funzionato nemmeno per me (perché il mio account non ha una password e per un tale lancio deve essere con una password). Non mi sono occupato di questo molto, ma l'ho semplicemente eseguito sulla riga di comando come utente normale. Andiamo dritti al punto in cui ha funzionato per me)))
Puoi trascinare il file eseguibile nella finestra della riga di comando che si apre (in modo da non digitarne la posizione con le mani). Aggiungi con uno spazio tutto in modo che assomigli a questo:
Ecco il mio risultato:
LaZagne.exe all-on
Il file viene salvato non rispetto alla posizione del programma in esecuzione, ma rispetto alla directory di lavoro corrente (quella visibile al prompt dei comandi). Ad esempio, nel mio caso è C:\Utenti\Alex\, quindi il file con le password trovate viene salvato in C:\Utenti\Alex\risultati\
Puoi anche usare l'opzione -oJ per salvare come Json o opzione -oA- per salvare in due formati contemporaneamente. A proposito, per me, si salva normalmente in Json e quando si sceglie di salvare come testo normale, vengono salvate solo alcune password.
Se anche tu hai problemi con questo, puoi usare il banale reindirizzamento dell'output:
LaZagne.exe tutto > logons.txt
Se vuoi cercare le password solo per i browser:
Browser LaZagne.exe
Puoi anche eseguire la ricerca solo per determinati browser, come Firefox:
Browser LaZagne.exe -f
Per un elenco completo delle opzioni disponibili e del software supportato, vedere la guida del programma.
Conclusione
LaZagne è molto facile da usare e fa un ottimo lavoro nel trovare le password su un computer. Il programma continua a svilupparsi attivamente e vengono aggiunti regolarmente nuovi script che consentono di cercare e recuperare password per ancora più programmi.
Puoi proteggerti in una certa misura da questo programma se, ad esempio, utilizzi una password principale per i browser (che la supportano).
Dovresti sempre essere a conoscenza di tali programmi se utilizzi computer pubblici (ad esempio in un Internet cafè) o se il tuo computer cade fuori dal tuo possesso almeno per un po' (durante il check-in come bagaglio, il check-in per le riparazioni, la vendita).
Quando vendi, non fare affidamento sulla semplice rimozione o formattazione del disco rigido. Gli strumenti forensi (come l'autopsia) sono in grado di recuperare i dati. A proposito, Autopsy, oltre alle password, potrà mostrare cronologia, cookie del browser web, siti visitati, informazioni sul tempo di utilizzo del computer (formato da molti fattori) e molto altro.
Non è un segreto che quasi tutti i browser oggi siano dotati di un gestore di password. Dopo aver inserito un nome utente e una password sui siti Web, quando si accede ai social network (che sono divorziati ... almeno sparano), ecc. questi gestori ti chiedono gentilmente se vuoi salvare questi dati nel browser? Le salvi e in futuro il browser inserisce automaticamente queste password salvate quando entri da qualche parte, non te ne accorgi nemmeno: molto comodo e pratico ...
Passano i mesi, gli anni e (sempre inaspettatamente e mestamente) arriva un giorno terribile quando al mattino il computer non si avvia, quando il sistema operativo va in vacanza, insieme a tutti i dati.
Un vicino o uno specialista delle chiamate installerà un nuovo sistema operativo e chi ripristinerà TUTTA LA PASSWORD DA TUTTI I BROWSER?
Ci sono diversi modi per uscire da questa situazione. Se la sincronizzazione è stata abilitata nel browser, tutti i dati possono essere ripristinati dal "cloud".
Se periodicamente backup del profilo il tuo browser Internet (il loro), quindi puoi inserirlo in un browser appena installato e tutto andrà di nuovo bene. C'è un programma MozBackup per questo, per esempio.
E gli utenti del programma (e del servizio) LastPass non devono preoccuparsi affatto a causa di questo presunto problema.
Ma sai, la cosa più sorprendente è che letteralmente alcuni utenti usano tutti i mezzi di cui sopra per salvare i propri dati. Tutti sono sicuri che questo non li influirà e andrà sempre tutto bene con loro, sono incantati, non sono una specie di "manichino"!
Oggi voglio descrivervi un altro programma incredibilmente utile e leggero (solo 0,2 MB di dimensione) sotto il nome Browser WebPassView, che in un secondo troverà TUTTE le password in TUTTI i tuoi browser, le visualizzerà in un'unica finestra, ne consentirà il download e il salvataggio in diversi formati.
L'utilità WebBrowserPassView sarà utile a tutti a modo loro. Qualcuno in un secondo "ruba" tutte le password al suo amico, perché questo programma non ha nemmeno bisogno di essere installato, è portatile e può funzionare da una chiavetta USB.
Ad esempio, ho cinque browser installati e si scopre che lavori nell'uno o nell'altro. Le password di siti Web e servizi vengono ricordate in diversi browser. A volte è molto scomodo avviare diversi browser, vagare tra le loro impostazioni o profili alla ricerca della password giusta.
Per estrarre e salvare le password dai browser, l'utilità WebBrowserPassView non ha eguali per velocità e facilità d'uso...
Scarica WebBrowserPassView
Abbiamo decompresso l'archivio e ottenuto una cartella con il programma ...
Entriamo e vediamo...
Il programma stesso è sulla destra, un file. Questi due file a sinistra possono essere eliminati in modo sicuro. Ora puoi Russify il programma (anche se ho capito tutto senza la lingua russa).
Scarica dal sito ufficiale del produttore File di russificazione a questo link e tirandolo fuori dall'archivio scaricato, mettilo nella cartella con il programma: dovrebbe risultare così ...
Ho preso screenshot confusi, a volte dalla versione inglese, a volte da quella russa. Avviamo il programma facendo clic sul collegamento a destra ...
…e ottieni subito tutte le password da tutti i browser installati! Naturalmente ho cancellato il mio nello screenshot.
Selezionando una o più righe (tenendo premuto il tasto "Ctrl" sulla tastiera), è possibile salvare login e password dal sito in diversi formati...
Come puoi vedere, anche nello speciale formato KeePass.
Tutto questo può essere fatto utilizzando il pannello del programma ...
Puoi personalizzare l'aspetto delle colonne nella finestra, rimuovere quelle non necessarie, ad esempio ...
O in russo...
Ecco un'altra voce di menu del programma ...
E andando nelle impostazioni, puoi assegnare browser da cui verranno recuperate password e accessi ...
Non lasciare il tuo laptop o computer desktop incustodito nemmeno per un paio di secondi! In caso contrario, le password della tua pagina dei social media, del blog e della posta potrebbero cadere nelle mani di un utente malintenzionato. Questo ora è possibile grazie alla nascita di un programma gratuito chiamato WebBrowserPassView. Grazie a lei, il segreto sul tuo computer diventerà chiaro e non avrai nemmeno il tempo di battere le palpebre.
Il software è disponibile anche in russo e puoi scaricarlo senza alcuna restrizione sul sito nirsoft.net. Inoltre, il programma non richiede installazione. Puoi eseguirlo, diciamo, da un'unità flash su un computer che per un momento è stato lasciato senza la supervisione del suo proprietario. Per tutto, il software richiederà solo 2 s. Scansionerà browser come Mozilla Firefox, Google Chrome, Internet Explorer e Opera ed estrarrà da essi tutte le password, comprese le password per l'accesso a siti popolari come Facebook, Yahoo, Google e Gmail. Il software farà tutto il lavoro in automatico e sarà anche possibile, utilizzando il programma, stampare tutte le informazioni ottenute.
Come Ilya Sachkov, CEO di Group-IB, ha spiegato quotidianamente a RBC, tale software non può essere considerato dannoso. Il programma viene eseguito sanzionato dall'utente, mentre viene eseguito localmente e non invia alcun dato da nessuna parte. Fornisce automaticamente l'accesso alle informazioni che possono essere visualizzate in altri modi. Questo programma non comporta nuove minacce.
WebBrowserPassView mostra solo le credenziali salvate nei moduli del browser, quindi, secondo Mr. Sachkov, è sufficiente non salvare le password utilizzando gli strumenti standard del browser Web, e in questo caso l'utente non è in pericolo. Inoltre, questo software non è in grado di estrarre password protette, ad esempio, dalla chiave master del browser web Opera. Le password in IE vengono crittografate utilizzando gli indirizzi Web a cui fanno riferimento, quindi se elimini la cronologia di navigazione, non sarai nemmeno in grado di estrarre le password.
Prima di tutto, è necessario utilizzare account utente protetti da password e bloccare un computer lasciato incustodito. Non salvare le credenziali di siti Web importanti nei browser. Ove possibile, si consiglia di utilizzare una protezione aggiuntiva sotto forma di chiavi master. La cosa principale da ricordare è che non solo un'utilità così innocua può estrarre password. Molto più spesso, un paio di login e password vengono rubati dagli aggressori che utilizzano malware, il che rappresenta davvero una minaccia per la sicurezza delle informazioni private degli utenti, osserva l'esperto.
Secondo il project manager di ADV/web-engineering co. Nikita Dubinkin, il programma WebBrowserPassView ottiene l'accesso alle password eseguendo la scansione dei file di sistema del browser. Allo stesso tempo, il programma può funzionare con tutti i browser Windows, ad eccezione del browser Safari di Apple. Per utilizzare questo programma, un utente malintenzionato deve ottenere l'accesso al computer della vittima. Il computer deve essere autorizzato con l'account utilizzato dalla vittima.
“Un particolare programma non è pericoloso per gli utenti del browser Apple Safari e non è pericoloso per chi utilizza Linux o MacOS sul proprio PC. Tuttavia, il fatto stesso dell'esistenza di questo programma mostra che i metodi di crittografia delle password nei browser non sono abbastanza affidabili. E, per non temere per la sicurezza dei tuoi dati, dovresti rifiutarti di memorizzare le password per siti importanti (e-mail, sistemi bancari su Internet, ecc.) nel browser", raccomanda il signor Dubinkin.
Informazioni aggiuntive.
