L’attaque par force brute est toujours l’une des méthodes de craquage de mot de passe les plus populaires. Néanmoins, ce n’est pas seulement pour le craquage de mots de passe. Les attaques par force brute peuvent également être utilisées pour découvrir des pages et du contenu cachés dans une application Web. Cette attaque est essentiellement « un succès et essayez » jusqu’à ce que vous réussissiez. Cette attaque prend parfois plus de temps, mais son taux de réussite est plus élevé.
Dans cet article, je vais essayer d’expliquer les attaques par force brute et les outils populaires utilisés dans différents scénarios pour effectuer des attaques par force brute pour obtenir les résultats souhaités.
Qu’est-ce qu’une attaque par force brute?
Une attaque par force brute lorsqu’un attaquant utilise un ensemble de valeurs prédéfinies pour attaquer une cible et analyser la réponse jusqu’à ce qu’il réussisse. Le succès dépend de l’ensemble de valeurs prédéfinies. S’il est plus grand, cela prendra plus de temps, mais il y a une meilleure probabilité de succès.
L’exemple le plus courant et le plus simple à comprendre de l’attaque par force brute est l’attaque par dictionnaire pour déchiffrer les mots de passe. En cela, l’attaquant utilise un dictionnaire de mots de passe contenant des millions de mots pouvant être utilisés comme mot de passe. L’attaquant tente ces mots de passe. un par un pour l’authentification. Si ce dictionnaire contient le mot de passe correct, l’attaquant wi Je vais réussir.
Dans une attaque traditionnelle par force brute, l’attaquant essaie simplement de combiner des lettres et des chiffres pour générer un mot de passe séquentiellement. Cependant, cette technique traditionnelle prendra plus de temps lorsque le mot de passe est suffisamment long. Ces attaques peuvent prendre de plusieurs minutes à plusieurs heures ou plusieurs années, selon le système utilisé et la longueur du mot de passe.
Pour éviter le craquage de mot de passe par des attaques par force brute, il faut toujours utiliser des mots de passe longs et complexes. Cela rend difficile pour les attaquants de deviner le mot de passe et les attaques par force brute prendront trop de temps. Le verrouillage de compte est un autre moyen d’empêcher l’attaquant d’effectuer des attaques par force brute sur les applications Web. Cependant, pour les logiciels hors ligne, les choses ne sont pas aussi faciles à sécuriser.
De même, pour découvrir des pages cachées, l’attaquant tente de deviner le nom de la page, envoie des requêtes et voit la réponse. Si la page n’existe pas, elle affichera une réponse 404; en cas de succès, la réponse sera 200. De cette façon, il peut trouver des pages cachées sur n’importe quel site Web.
La force brute est également utilisée pour déchiffrer le hachage et deviner un mot de passe à partir d’un hachage donné. En cela, le hachage est généré à partir de mots de passe aléatoires, puis ce hachage est mis en correspondance avec un hachage cible jusqu’à ce que l’attaquant trouve le bon. Par conséquent, plus le type de cryptage (cryptage 64 bits, 128 bits ou 256 bits) utilisé pour crypter le mot de passe est élevé, plus la rupture peut prendre du temps.
Attaque par force brute inverse
Une attaque par force brute inverse est un autre terme associé au craquage de mot de passe. Il adopte une approche inverse dans le craquage des mots de passe. En cela, l’attaquant essaie un mot de passe contre plusieurs noms d’utilisateur. Imaginez si vous connaissez un mot de passe mais n’avez aucune idée des noms d’utilisateur. Dans ce cas, vous pouvez essayer le même mot de passe et deviner les différents noms d’utilisateur jusqu’à ce que vous trouviez la combinaison qui fonctionne.
Maintenant, vous savez qu’une attaque par force brute est principalement utilisée pour le craquage de mot de passe. Vous pouvez l’utiliser dans n’importe quel logiciel, tout site Web ou tout protocole qui ne bloque pas les demandes après quelques essais invalides. Dans cet article, je vais ajouter quelques outils de craquage de mot de passe par force brute pour différents protocoles.
Outils populaires pour les attaques par force brute
Aircrack-ng
Je suis sûr que vous connaissez déjà l’outil Aircrack-ng. Ceci est un outil de craquage de mot de passe wifi par force brute populaire disponible gratuitement. J’ai également mentionné cet outil dans notre ancien article sur les outils de craquage de mots de passe les plus populaires. Cet outil est livré avec des outils d’analyse et de cracker WEP / WPA / WPA2-PSK pour effectuer des attaques sur Wi-Fi 802.11. Aircrack-ng peut être utilisé pour n’importe quelle carte réseau prenant en charge le mode de surveillance brut.
Il effectue essentiellement des attaques par dictionnaire contre un réseau sans fil pour deviner le mot de passe. Comme vous le savez déjà, le succès de l’attaque dépend du dictionnaire des mots de passe. Plus le dictionnaire de mots de passe est meilleur et efficace, plus il est probable qu’il craquera le mot de passe.
Il est disponible pour les plates-formes Windows et Linux. Il a également été porté pour fonctionner sur les plates-formes iOS et Android. Vous pouvez l’essayer sur des plates-formes données pour voir comment cet outil peut être utilisé pour le craquage de mot de passe wifi par force brute.
Téléchargez Aircrack-ng ici.
John the Ripper
John the Ripper est un autre outil génial qui n’a besoin d’aucune introduction. C’est un choix favori pour effectuer des attaques par force brute depuis longtemps. Ce logiciel gratuit de craquage de mots de passe a été initialement développé pour les systèmes Unix. Plus tard, les développeurs l’ont publié pour diverses autres plates-formes. Désormais, il prend en charge quinze plates-formes différentes, notamment Unix, Windows, DOS, BeOS et OpenVMS.
Vous pouvez l’utiliser soit pour identifier les mots de passe faibles, soit pour craquer les mots de passe pour rompre l’authentification.
Cet outil est très populaire et combine diverses fonctionnalités de piratage des mots de passe. Il peut détecter automatiquement le type de hachage utilisé dans un mot de passe. Par conséquent, vous pouvez également l’exécuter sur un stockage de mots de passe cryptés.
Fondamentalement, il peut effectuer des attaques par force brute avec tous les mots de passe possibles en combinant du texte et des chiffres. Cependant, vous pouvez également l’utiliser avec un dictionnaire de mots de passe pour effectuer des attaques par dictionnaire.
Téléchargez John the Ripper ici.
Rainbow Crack
Rainbow Crack est également un outil de forçage brutal populaire utilisé pour le craquage de mots de passe. Il génère des tables arc-en-ciel à utiliser lors de l’attaque. De cette façon, il est différent des autres outils conventionnels de forçage brutal. Les tables arc-en-ciel sont pré-calculées. Cela aide à réduire le temps d’exécution de l’attaque.
La bonne chose est qu’il existe plusieurs organisations qui ont déjà publié les tableaux arc-en-ciel pré-ordinateur pour tous les internautes. Pour gagner du temps, vous pouvez télécharger ces tables arc-en-ciel et les utiliser dans vos attaques.
Cet outil est toujours en développement actif. Il est disponible pour Windows et Linux et prend en charge toutes les dernières versions de ces plates-formes.
Téléchargez Rainbow Crack et en savoir plus sur cet outil ici.
L0phtCrack
L0phtCrack est connu pour sa capacité à déchiffrer les mots de passe Windows. Il utilise des attaques par dictionnaire, des attaques par force brute, des attaques hybrides et des tables arc-en-ciel. Les fonctionnalités les plus notables de L0phtcrack sont la planification, l’extraction de hachage à partir de versions Windows 64 bits, les algorithmes multiprocesseurs et la surveillance et le décodage du réseau. Si vous voulez déchiffrer le mot de passe d’un système Windows, vous pouvez essayer cet outil.
Téléchargez L0phtCrack ici.
Ophcrack
Ophcrack est un autre forcing brutal outil spécialement utilisé pour craquer les mots de passe Windows. Il craque les mots de passe Windows en utilisant des hachages LM à travers des tables arc-en-ciel. C’est un outil gratuit et open source.
Dans la plupart des cas, il peut déchiffrer un mot de passe Windows en quelques minutes. Par défaut, Ophcrack est livré avec des tables arc-en-ciel pour déchiffrer les mots de passe de moins de 14 caractères qui ne contiennent que des caractères alphanumériques. D’autres tables arc-en-ciel sont également disponibles en téléchargement.
Ophcrack est également disponible en LiveCD.
Téléchargez Ophcrack ici.
Hashcat
Hashcat prétend être l’outil le plus rapide de craquage de mot de passe basé sur le processeur. Il est gratuit et est disponible pour les plates-formes Linux, Windows et Mac OS. Hashcat prend en charge divers algorithmes de hachage, notamment les hachages LM, MD4, MD5, la famille SHA, les formats Unix Crypt, MySQL et Cisco PIX. Il prend en charge diverses attaques, y compris les attaques par force brute, les attaques combinées, les attaques par dictionnaire, les attaques par empreintes digitales, les attaques hybrides, les attaques de masque, les attaques par permutation, les attaques basées sur des règles, les attaques de recherche de table et les attaques à bascule.
Télécharger Hashcat ici.
DaveGrohl
DaveGrohl est un outil de forçage brutal populaire pour Mac OS X. Il prend en charge toutes les versions disponibles de Mac OS X. Cet outil prend en charge à la fois les attaques par dictionnaire et les attaques incrémentielles . Il dispose également d’un mode distribué qui vous permet d’effectuer des attaques à partir de plusieurs ordinateurs pour attaquer le même hachage de mot de passe.
Cet outil est maintenant open-source et vous pouvez télécharger le code source.
Téléchargez DaveGrohl ici.
Ncrack
Ncrack est également un outil populaire de craquage de mots de passe pour craquer les authentifications réseau. Il prend en charge divers protocoles, notamment RDP, SSH, HTTP (S), SMB, POP3 (S), VNC, FTP et Telnet. Il peut effectuer différentes attaques, y compris des attaques par force brute. Il prend en charge diverses plates-formes, notamment Linux, BSD, Windows et Mac OS X.
Téléchargez Ncrack ici.
THC Hydra
THC Hydra est connu pour sa capacité à cracker les mots de passe des authentifications réseau en effectuant des attaques par force brute. Il effectue des attaques par dictionnaire contre plus de 30 protocoles, notamment Telnet, FTP, HTTP, HTTPS, SMB et plus encore. Il est disponible pour diverses plates-formes, notamment Linux, Windows / Cygwin, Solaris 11, FreeBSD 8.1, OpenBSD, OSX et QNX / Blackberry.
Téléchargez THC Hydra ici.
Conclusion
Voici quelques outils populaires de forçage de mots de passe. Il existe également divers autres outils qui exécutent la force brute sur différents types d’authentification. Si je donne juste un exemple de quelques petits outils, vous verrez que la plupart des outils de crackage PDF et ZIP utilisent les mêmes méthodes de force brute pour effectuer des attaques et cracker des mots de passe. Il existe de nombreux outils de ce type disponibles gratuitement ou payants.
Le forçage brutal est la meilleure méthode de craquage de mot de passe. Le succès de l’attaque dépend de divers facteurs. Cependant, les facteurs qui affectent le plus sont la longueur du mot de passe et la combinaison de caractères, de lettres et de caractères spéciaux. C’est pourquoi, lorsque nous parlons de mots de passe forts, nous suggérons généralement aux utilisateurs d’avoir des mots de passe longs avec une combinaison de lettres minuscules, majuscules, chiffres et caractères spéciaux.Cela ne rend pas le forçage brutal impossible, mais cela le rend difficile. Par conséquent, il faudra plus de temps pour atteindre le mot de passe par forçage brutal.
Presque tous les algorithmes de hachage utilisent la force brute pour frapper et essayer. Cette attaque est meilleure lorsque vous avez un accès hors ligne aux données. Dans ce cas, il est facile de craquer et prend moins de temps.
Le craquage de mot de passe par force brute est également très important dans la sécurité informatique. Il est utilisé pour vérifier les mots de passe faibles utilisés dans le système, le réseau ou l’application.
La meilleure façon de prévenir les attaques par force brute est de limiter les connexions invalides. De cette façon, les attaques ne peuvent toucher et essayer des mots de passe que pour des temps limités. C’est pourquoi les services Web commencent à afficher des s si vous tapez trois fois de mauvais mots de passe ou ils bloquent votre adresse IP.
