De aanval met brute kracht is nog steeds een van de meest populaire methoden voor het kraken van wachtwoorden. Toch is het niet alleen bedoeld om wachtwoorden te kraken. Brute force-aanvallen kunnen ook worden gebruikt om verborgen pagina’s en inhoud in een webtoepassing te ontdekken. Deze aanval is in feite “een hit en probeer het” totdat je slaagt. Deze aanval duurt soms langer, maar het slagingspercentage is hoger.
In dit artikel zal ik proberen brute force-aanvallen en populaire tools die worden gebruikt uit te leggen in verschillende scenario’s voor het uitvoeren van brute force-aanvallen om de gewenste resultaten te krijgen.
Wat is een brute force-aanval?
Een brute force-aanval wanneer een aanvaller een set vooraf gedefinieerde waarden om een doelwit aan te vallen en de reactie te analyseren totdat hij slaagt. Succes hangt af van de set vooraf gedefinieerde waarden. Als deze groter is, kost het meer tijd, maar de kans op succes is groter.
Het meest voorkomende en gemakkelijkst te begrijpen voorbeeld van de brute force-aanval is de woordenboekaanval om wachtwoorden te kraken. Hierin gebruikt de aanvaller een wachtwoordwoordenboek dat miljoenen woorden bevat die als wachtwoord kunnen worden gebruikt. De aanvaller probeert deze wachtwoorden één voor één voor authenticatie.Als dit woordenboek het juiste wachtwoord bevat, zal de aanvaller wi Dat zal lukken.
Bij een traditionele brute force-aanval probeert de aanvaller gewoon de combinatie van letters en cijfers om opeenvolgend een wachtwoord te genereren. Deze traditionele techniek duurt echter langer als het wachtwoord lang genoeg is. Deze aanvallen kunnen enkele minuten tot enkele uren of jaren duren, afhankelijk van het gebruikte systeem en de lengte van het wachtwoord.
Om het kraken van wachtwoorden door brute force-aanvallen te voorkomen, moet men altijd lange en complexe wachtwoorden gebruiken. Dit maakt het moeilijk voor aanvallers om het wachtwoord te raden en brute force-aanvallen zullen te veel tijd kosten. Accountvergrendeling is een andere manier om te voorkomen dat de aanvaller brute force-aanvallen op webtoepassingen uitvoert. Voor offline software zijn dingen echter niet zo eenvoudig te beveiligen.
Evenzo probeert de aanvaller voor het ontdekken van verborgen pagina’s de naam van de pagina te raden, verzendt hij verzoeken en ziet hij het antwoord. Als de pagina niet bestaat, wordt er een 404-reactie weergegeven; bij succes is de respons 200. Op deze manier kan het verborgen pagina’s op elke website vinden.
Brute kracht wordt ook gebruikt om de hash te kraken en een wachtwoord te raden van een bepaalde hash. Hierin wordt de hash gegenereerd uit willekeurige wachtwoorden en vervolgens wordt deze hash gematcht met een doel-hash totdat de aanvaller de juiste vindt. Daarom, hoe hoger het type versleuteling (64-bits, 128-bits of 256-bits versleuteling) dat wordt gebruikt om het wachtwoord te versleutelen, hoe langer het kan duren om te breken.
Omgekeerde brute force-aanval
Een omgekeerde brute force-aanval is een andere term die wordt geassocieerd met het kraken van wachtwoorden. Het vereist een omgekeerde benadering bij het kraken van wachtwoorden. Hierbij probeert de aanvaller één wachtwoord tegen meerdere gebruikersnamen. Stel je voor dat je een wachtwoord kent maar geen idee hebt van de gebruikersnamen. In dit geval kunt u hetzelfde wachtwoord proberen en de verschillende gebruikersnamen raden totdat u de werkende combinatie vindt.
Nu weet u dat een brute-forcing-aanval voornamelijk wordt gebruikt voor het kraken van wachtwoorden. U kunt het gebruiken in elke software, elke website of elk protocol dat verzoeken niet blokkeert na een paar ongeldige pogingen. In dit bericht ga ik een paar brute force-tools voor het kraken van wachtwoorden toevoegen voor verschillende protocollen.
Populaire tools voor brute force-aanvallen
Aircrack-ng
Ik weet zeker dat u al weet van de Aircrack-ng-tool. Dit is een populaire brute force wifi-tool voor het kraken van wachtwoorden die gratis beschikbaar is. Ik noemde deze tool ook in ons oudere bericht over de meest populaire tools voor het kraken van wachtwoorden. Deze tool wordt geleverd met WEP / WPA / WPA2-PSK-cracker en analysehulpmiddelen om aanvallen uit te voeren op Wi-Fi 802.11. Aircrack-ng kan worden gebruikt voor elke NIC die de onbewerkte bewakingsmodus ondersteunt.
Het voert in feite woordenboekaanvallen uit op een draadloos netwerk om het wachtwoord te raden. Zoals u al weet, hangt het succes van de aanval af van het woordenboek met wachtwoorden. Hoe beter en effectiever het wachtwoordwoordenboek is, des te waarschijnlijker is het dat het het wachtwoord zal kraken.
Het is beschikbaar voor Windows- en Linux-platforms. Het is ook geporteerd om te draaien op iOS- en Android-platforms. Je kunt het op bepaalde platforms proberen om te zien hoe deze tool kan worden gebruikt voor het brute kracht kraken van wifi-wachtwoorden.
Download Aircrack-ng hier.
John the Ripper
John the Ripper is een ander geweldig hulpmiddel dat geen introductie behoeft. Het is al heel lang een favoriete keuze voor het uitvoeren van brute force-aanvallen. Deze gratis software voor het kraken van wachtwoorden is oorspronkelijk ontwikkeld voor Unix-systemen. Later brachten ontwikkelaars het uit voor verschillende andere platforms. Nu ondersteunt het vijftien verschillende platforms, waaronder Unix, Windows, DOS, BeOS en OpenVMS.
U kunt dit gebruiken om zwakke wachtwoorden te identificeren of om wachtwoorden te kraken om authenticatie te verbreken.
Deze tool is erg populair en combineert verschillende functies voor het kraken van wachtwoorden. Het kan automatisch het type hashing detecteren dat in een wachtwoord wordt gebruikt. Daarom kun je het ook gebruiken tegen versleutelde wachtwoordopslag.
In principe kan het brute force-aanvallen uitvoeren met alle mogelijke wachtwoorden door tekst en cijfers te combineren. Je kunt het echter ook gebruiken met een woordenboek met wachtwoorden om woordenboekaanvallen uit te voeren.
Download John the Ripper hier.
Rainbow Crack
Rainbow Crack is ook een populaire brute-forcing-tool die wordt gebruikt voor het kraken van wachtwoorden. Het genereert regenboogtafels om te gebruiken tijdens het uitvoeren van de aanval. Op deze manier verschilt het van andere conventionele brute-forcing-tools. Rainbow-tabellen zijn vooraf berekend. Het helpt bij het verkorten van de tijd die nodig is om de aanval uit te voeren.
Het goede is dat er verschillende organisaties zijn die de pre-computer regenboogtabellen voor alle internetgebruikers al hebben gepubliceerd. Om tijd te besparen, kunt u die regenboogtafels downloaden en ze gebruiken bij uw aanvallen.
Deze tool is nog in actieve ontwikkeling. Het is beschikbaar voor zowel Windows als Linux en ondersteunt alle nieuwste versies van deze platforms.
Download Rainbow Crack en lees hier meer over deze tool.
L0phtCrack
L0phtCrack staat bekend om zijn vermogen om Windows-wachtwoorden te kraken. Het maakt gebruik van woordenboekaanvallen, brute force-aanvallen, hybride aanvallen en regenboogtabellen. De meest opvallende kenmerken van L0phtcrack zijn planning, hash-extractie uit 64-bits Windows-versies, multiprocessor-algoritmen en netwerkbewaking en -decodering. Als je het wachtwoord van een Windows-systeem wilt kraken, kun je deze tool proberen.
Download L0phtCrack hier.
Ophcrack
Ophcrack is een andere brute-forcing tool speciaal gebruikt voor het kraken van Windows-wachtwoorden. Het kraakt Windows-wachtwoorden door LM-hashes te gebruiken via regenboogtabellen. Het is een gratis en open-source tool.
In de meeste gevallen kan het een Windows-wachtwoord binnen een paar minuten kraken. Ophcrack wordt standaard geleverd met regenboogtabellen om wachtwoorden van minder dan 14 tekens te kraken die alleen alfanumerieke tekens bevatten. Andere regenboogtafels zijn ook beschikbaar om te downloaden.
Ophcrack is ook beschikbaar als LiveCD.
Download Ophcrack hier.
Hashcat
Hashcat beweert de snelste CPU-gebaseerde tool voor het kraken van wachtwoorden te zijn. Het is gratis en wordt geleverd voor Linux-, Windows- en Mac OS-platforms. Hashcat ondersteunt verschillende hash-algoritmen, waaronder LM Hashes, MD4, MD5, SHA-familie, Unix Crypt-formaten, MySQL en Cisco PIX. Het ondersteunt verschillende aanvallen, waaronder brute force-aanvallen, combinator-aanvallen, woordenboekaanvallen, vingerafdrukaanvallen, hybride aanvallen, maskeraanvallen, permutatieaanvallen, regelgebaseerde aanvallen, table-lookup-aanvallen en toggle-case-aanvallen.
Download Hashcat hier.
DaveGrohl
DaveGrohl is een populaire brute-forcing tool voor Mac OS X. Het ondersteunt alle beschikbare versies van Mac OS X. Deze tool ondersteunt zowel woordenboekaanvallen als incrementele aanvallen . Het heeft ook een gedistribueerde modus waarmee u aanvallen vanaf meerdere computers kunt uitvoeren om aan te vallen op dezelfde wachtwoordhash.
Deze tool is nu open-source en je kunt de broncode downloaden.
Download DaveGrohl hier.
Ncrack
Ncrack is ook een populaire tool voor het kraken van wachtwoorden voor het kraken van netwerkverificaties. Het ondersteunt verschillende protocollen, waaronder RDP, SSH, HTTP (S), SMB, POP3 (S), VNC, FTP en Telnet. Het kan verschillende aanvallen uitvoeren, waaronder brute-forcing-aanvallen. Het ondersteunt verschillende platforms, waaronder Linux, BSD, Windows en Mac OS X.
Download Ncrack hier.
THC Hydra
THC Hydra staat bekend om zijn vermogen om wachtwoorden van netwerkauthenticaties kraken door brute force-aanvallen uit te voeren. Het voert woordenboekaanvallen uit tegen meer dan 30 protocollen, waaronder Telnet, FTP, HTTP, HTTPS, SMB en meer. Het is beschikbaar voor verschillende platforms, waaronder Linux, Windows / Cygwin, Solaris 11, FreeBSD 8.1, OpenBSD, OSX en QNX / Blackberry.
Download THC Hydra hier.
Conclusie
Dit zijn een paar populaire brute-forcing tools voor het kraken van wachtwoorden. Er zijn ook verschillende andere tools beschikbaar die brute kracht uitoefenen op verschillende soorten authenticatie. Als ik slechts een voorbeeld geef van een paar kleine tools, dan zult u zien dat de meeste tools voor het kraken van PDF’s en ZIP-cracking dezelfde brute force-methoden gebruiken om aanvallen uit te voeren en wachtwoorden te kraken. Er zijn veel van dergelijke tools gratis of tegen betaling beschikbaar.
Brute-forcing is de beste methode om wachtwoorden te kraken. Het succes van de aanval is afhankelijk van verschillende factoren. De belangrijkste factoren zijn echter de lengte van het wachtwoord en de combinatie van tekens, letters en speciale tekens. Dit is de reden waarom we, wanneer we het hebben over sterke wachtwoorden, gebruikers meestal aanraden lange wachtwoorden te hebben met een combinatie van kleine letters, hoofdletters, cijfers en speciale tekens.Het maakt brute-forcing niet onmogelijk, maar het maakt het wel moeilijk. Daarom duurt het langer om het wachtwoord te bereiken met brute-forcing.
Bijna alle hash-cracking-algoritmen gebruiken de brute kracht om te slaan en te proberen. Deze aanval is het beste wanneer u offline toegang heeft tot gegevens. In dat geval maakt het het gemakkelijk te kraken en kost het minder tijd.
Brute force-wachtwoordkraken is ook erg belangrijk in computerbeveiliging. Het wordt gebruikt om de zwakke wachtwoorden te controleren die in het systeem, het netwerk of de applicatie worden gebruikt.
De beste manier om brute force-aanvallen te voorkomen, is door ongeldige logins te beperken. Op deze manier kunnen aanvallen slechts een beperkte tijd wachtwoorden raken en proberen. Dit is de reden waarom webgebaseerde services s beginnen te tonen als u drie keer de verkeerde wachtwoorden indrukt, anders wordt uw IP-adres geblokkeerd.