8 najbolj priljubljenih tehnik razbijanja gesel: naučite se, kako zaščititi svojo zasebnost

Razbijanje gesel pomeni pridobivanje gesel iz računalnika ali podatkov, ki jih računalnik prenaša. To ni nujno zahtevna metoda. Tudi napad z grobo silo, pri katerem se preverijo vse možne kombinacije, je razbijanje gesla.

Če je geslo shranjeno kot navadno besedilo, napadalec z vdorom v podatkovno zbirko pridobi vse podatke o računu. Vendar je zdaj večina gesel shranjenih s funkcijo izpeljave ključa (KDF). Ta vzame geslo in ga prežene skozi enosmerno šifriranje, pri čemer nastane tako imenovani “hash”. Strežnik shrani hash-različico gesla.

Pri uporabi grafičnega procesorja ali botneta lahko zlahka in hitro preizkušate različna šifrirana gesla. Zato večina funkcij za stiskanje gesel uporablja algoritme za raztezanje ključev, ki povečujejo sredstva (in s tem čas), potrebna za napad z grobo silo.

Nekatere metode razbijanja gesel so bistveno težje, če geslo uporablja soliranje ali raztezanje ključev. Žal še vedno obstajajo storitve, ki na svojih strežnikih hranijo nešifrirana ali šibko šifrirana gesla.

Kako ustvariti močno geslo?

• Uporabljajte dolge kombinacije gesel z najmanj 8 simboli.
• vključite velike in male črke, številke in simbole.
• Izogibajte se ponovni uporabi gesel
• Za ustvarjanje močnih gesel si omislite varnega upravitelja gesel.

Seveda želijo hekerji uporabiti najlažjo razpoložljivo metodo za razbijanje gesla. Najpogosteje je to ribarjenje, ki je podrobno opisano v nadaljevanju. Dokler je človek najšibkejši člen vsakega varnostnega sistema, je najboljša možnost, da se usmerite nanj. Če to ne uspe, lahko poskusite z veliko drugimi tehnikami za razbijanje gesel.

Čeprav so gesla zelo priljubljeno orodje za zaščito računov, niso nujno najvarnejša možnost. To še posebej velja, če uporabnik ustvari šibko geslo, ga ponovno uporabi in nekje na spletu shrani njegovo kopijo v odprtem besedilu. Zato bo z uporabo upravitelja gesel, biometričnih podatkov (ki imajo tudi svoje slabosti) ali dodajanjem drugega dejavnika večina spodnjih metod razbijanja postala neuporabna.

Tipičen napad z razbijanjem gesla je videti takole:

1. Pridobite gesla gesel
2. Priprava hashev za izbrano orodje za razbijanje
3. Izberite metodologijo razbijanja
4. Zaženite orodje za razbijanje
5. Ocenjevanje rezultatov
6. Po potrebi prilagodite napad
7. Pojdite na korak 2

Zdaj pa si oglejmo najbolj priljubljene tehnike razbijanja gesel. V številnih primerih jih za večji učinek kombiniramo skupaj.

Najbolj priljubljena tehnika je ribarjenje, ki uporabnika zvabi, da klikne na priponko ali povezavo v e-pošti, ki vsebuje zlonamerno programsko opremo. Metode za to običajno vključujejo pošiljanje nekega pomembnega in uradno videti elektronskega sporočila, ki opozarja na ukrepanje, preden bo prepozno. Na koncu se samodejno namesti programska oprema za pridobivanje gesla ali pa uporabnik vnese podatke o svojem računu na podobnem spletnem mestu.

Obstajajo različne vrste ribarjenja, ki so prilagojene določenim razmeram, zato si bomo ogledali nekaj najpogostejših:

• Ciljno ribarjenje je usmerjeno na določeno osebo in pred napadom poskuša zbrati čim več osebnih podatkov.
• Ciljno skupino predstavljajo višji vodstveni delavci, ki uporabljajo vsebino, specifično za podjetje, ki je lahko pritožba stranke ali pismo delničarja.
• Glasovno ribarjenje vključuje lažno sporočilo banke ali druge institucije, ki uporabnika poziva, naj pokliče telefonsko številko za pomoč uporabnikom in vnese podatke o svojem računu.

Kot ste videli, je zlonamerna programska oprema pogosto tudi del tehnike goljufanja. Vendar lahko deluje tudi brez dejavnika socialnega inženiringa, če je uporabnik dovolj naiven (običajno je). Dve najpogostejši vrsti zlonamerne programske opreme za krajo gesel sta keylogger in screen scraper. Kot pove že njuno ime, prvi hekerju pošlje vse vaše pritiske na tipke, drugi pa naloži posnetke zaslona.

Za krajo gesla se lahko uporabljajo tudi druge vrste zlonamerne programske opreme. Trojanski konj z zadnjimi vrati lahko omogoči popoln dostop do uporabnikovega računalnika, kar se lahko zgodi tudi pri namestitvi tako imenovane sive programske opreme. Ti programi, znani tudi kot potencialno nezaželene aplikacije, se običajno namestijo sami po kliku na napačen gumb “Prenesi” na nekem spletnem mestu. Večina jih prikazuje oglase ali prodaja podatke o uporabi spleta, nekateri pa lahko namestijo veliko nevarnejšo programsko opremo.

Ta tehnika razbijanja gesla temelji na lahkovernosti in lahko uporablja ali ne uporablja zapleteno programsko ali strojno opremo – ribarjenje je vrsta sheme socialnega inženiringa.

Tehnologija je prinesla revolucijo v socialnem inženiringu. Leta 2019 so hekerji z umetno inteligenco in glasovno tehnologijo upodobili lastnika podjetja in ga prevarali, da je prenesel 243.000 dolarjev. Ta napad je pokazal, da ponarejanje glasu ni več prihodnost in da bo video imitacija postala običajna prej, kot si mislite.

Običajno napadalec stopi v stik z žrtvijo preoblečen v predstavnika neke institucije in poskuša pridobiti čim več osebnih podatkov. Obstaja tudi možnost, da z izdajanjem za predstavnika banke ali Googla takoj pridobi geslo ali podatke o kreditni kartici. V nasprotju z drugimi tehnikami se socialni inženiring lahko zgodi brez povezave, tako da žrtev pokliče ali se z njo celo osebno sreča.

Če vse ostalo ne uspe, imajo razbijalci gesel kot zadnjo možnost napad z grobo silo. Pri tem gre za preizkušanje vseh možnih kombinacij, dokler ne zadenete jackpota. Orodja za razbijanje gesel pa omogočajo spreminjanje tega napada in bistveno skrajšajo čas, potreben za preverjanje vseh različic. Uporabnik in njegove navade so tudi v tem primeru šibki členi.

Če je napadalcu uspelo z grobo silo pridobiti geslo, bo domneval, da je bilo geslo ponovno uporabljeno, in bo isto kombinacijo prijavnih podatkov poskusil uporabiti v drugih spletnih storitvah. To je znano kot “credential stuffing” in je v dobi kršitev varnosti podatkov zelo priljubljeno.

Napad s slovarjem je vrsta napada z grobo silo in se pogosto uporablja skupaj z drugimi vrstami napadov z grobo silo. Z vpogledom v slovar samodejno preveri, ali geslo ni pogosto uporabljena fraza, kot je “iloveyou”. Napadalec lahko doda tudi gesla iz drugih računov, iz katerih je prišlo do uhajanja podatkov. V takem primeru se možnost uspešnega slovarskega napada bistveno poveča.

Če bi uporabniki izbrali močna gesla, ki ne bi vsebovala le ene besede, bi se takšni napadi hitro zmanjšali na preprost napad z grobo silo. Če uporabljate upravitelja gesel, je najboljša izbira generiranje naključnega nabora simbolov. Če ga ne uporabljate, pa je odlična tudi dolga fraza, sestavljena iz vsaj petih besed. Le ne pozabite ga ponovno uporabiti za vsak račun.

Spidering je dodatna tehnika razbijanja gesel, ki pomaga pri zgoraj omenjenih napadih z grobo silo in slovarskih napadih. Vključuje zbiranje informacij o žrtvi, običajno podjetju, in domneva, da bo nekatere od teh informacij uporabilo za ustvarjanje gesla. Cilj je ustvariti seznam besed, ki bi pomagal hitreje uganiti geslo.

Po preverjanju spletne strani podjetja, družbenih medijev in drugih virov lahko ugotovimo naslednje:

• Ime ustanovitelja – Mark Zuckerberg
• Datum rojstva ustanovitelja – 1984 05 14
• Sestra ustanovitelja – Randi
• Ustanoviteljeva druga sestra – Donna
• Ime podjetja – Facebook
• Sedež – Menlo Park
• Poslanstvo podjetja – Dajmo ljudem moč, da gradijo skupnost in zbližujejo svet

Zdaj ga morate le še naložiti v ustrezno orodje za razbijanje gesel in izkoristiti prednosti.

Čeprav ugibanje še zdaleč ni najbolj priljubljena tehnika razbijanja gesel, je povezana z zgoraj navedenim poslovno usmerjenim vohunjenjem. Včasih napadalcu sploh ni treba zbirati informacij o žrtvi, saj je dovolj, da poskusi nekaj najbolj priljubljenih geselskih fraz. Če se spomnite, da ste uporabljali eno ali več patetičnih gesel s spodnjega seznama, vam toplo priporočamo, da jih zdaj zamenjate.

Nekatera najpogostejša gesla na svetu:

• 123456
• 123456789
• qwerty
• geslo
• 12345
• qwerty123
• 1q2w3e
• 12345678
• 111111
• 1234567890

Čeprav se število ljudi, ki uporabljajo preprosta ali privzeta gesla, kot so “password”, “qwerty” ali “123456”, zmanjšuje, mnogi še vedno radi uporabljajo preproste in zapomljive fraze. Ti pogosto vključujejo imena hišnih ljubljenčkov, ljubimcev, ljubiteljev hišnih ljubljenčkov, bivših hišnih ljubljenčkov ali nekaj, kar je povezano z dejansko storitvijo, na primer njeno ime (z malimi črkami).

Kot smo že omenili, je pri razbijanju gesla ena od prvih stvari, ki jih je treba storiti, pridobitev gesla v obliki hasha. Nato ustvarite tabelo pogostih gesel in njihovih hashiranih različic ter preverite, ali se geslo, ki ga želite razvozlati, ujema s katerim od vnosov. Izkušeni hekerji imajo običajno mavrično tabelo, ki vključuje tudi razkrita in predhodno razbita gesla, zato je učinkovitejša.

Mavrične tabele najpogosteje vsebujejo vsa možna gesla, zato so zelo velike in zavzamejo več sto GB. Po drugi strani pa je zaradi njih dejanski napad hitrejši, saj je večina podatkov že na voljo in jih je treba le primerjati s ciljnim geslom. Na srečo se lahko večina uporabnikov pred takimi napadi zaščiti z velikimi solmi in raztegovanjem ključev, zlasti pri uporabi obeh.

Če je sol dovolj velika, na primer 128-bitna, bosta imela dva uporabnika z istim geslom edinstvena gesla. To pomeni, da bo generiranje tabel za vse soli trajalo astronomsko dolgo. Kar zadeva raztezanje ključa, to podaljša čas hashanja in omeji število poskusov, ki jih lahko napadalec opravi v določenem času.

Nobeno razbijanje gesla se ne začne brez ustreznih orodij. Ko morate ugibati med milijardami kombinacij, je nekaj računalniške pomoči več kot dobrodošlo. Kot vedno ima vsako orodje svoje prednosti in slabosti.

Tukaj je seznam najbolj priljubljenih orodij za razbijanje gesel brez posebnega vrstnega reda.

John the Ripper je brezplačna odprtokodna aplikacija, ki temelji na ukazih in je uvrščena na številne sezname priljubljenih orodij za razbijanje gesel. Na voljo je za operacijska sistema Linux in macOS, medtem ko je uporabnikom operacijskih sistemov Windows in Android na voljo program Hash Suite, ki ga je razvil sodelavec.

John the Ripper podpira obsežen seznam različnih vrst šifer in hashev. Nekatere med njimi so:

• gesla uporabnikov sistemov Unix, macOS in Windows
• Spletne aplikacije
• Strežniki podatkovnih zbirk
• Zajem omrežnega prometa
• Šifrirani zasebni ključi
• Diski in datotečni sistemi
• Arhivi
• Dokumenti

Na voljo je tudi različica Pro z dodatnimi funkcijami in izvirnimi paketi za podprte operacijske sisteme. Seznami besed, ki se uporabljajo pri razbijanju gesel, so naprodaj, na voljo pa so tudi brezplačne možnosti.

Cain & Abel je še eno priljubljeno orodje za razbijanje gesel, ki je bilo iz uradnega vira preneseno skoraj 2 milijona krat. Vendar v nasprotju z John the Ripper uporablja grafični uporabniški vmesnik, zaradi česar je takoj bolj prijazno do uporabnika. Zaradi tega in dejstva, da je na voljo samo v operacijskem sistemu Windows, je Cain & Abel orodje za amaterje, znane tudi kot script kiddies.

To je večnamensko orodje, ki lahko opravlja več različnih funkcij. Cain & Abel lahko deluje kot analizator paketov, snema VoIP, analizira usmerjevalne protokole ali išče brezžična omrežja in pridobi njihove naslove MAC. Če že imate hash, vam bo to orodje ponudilo možnost napada s slovarjem ali grobo silo. Cain & Abel lahko prikaže tudi gesla, ki se skrivajo pod zvezdicami.

Ophcrack je brezplačno in odprtokodno orodje za razbijanje gesel, ki je specializirano za napade z mavrično tabelo. Natančneje, razbija gesla LM in NTLM, pri čemer je prvo namenjeno operacijskemu sistemu Windows XP in prejšnjim, drugo pa operacijskima sistemoma Windows Vista in 7. NTLM je do določene mere na voljo tudi v operacijskih sistemih Linux in freeBSD. Obe vrsti hashev sta nezanesljivi – s hitrim računalnikom je mogoče hash NTLM razbiti v manj kot treh urah.

Kot lahko vidite na zgornji sliki zaslona, je Ophcrack za razbijanje gesla z osmimi simboli z uporabo mavrične tabele, ki vključuje črke, številke in velike črke, potreboval le šest sekund. To je celo več spremenljivk, kot jih imajo običajna gesla.

To orodje vsebuje brezplačne mavrične tabele za Windows XP/Vista/7 in funkcijo za napad z grobo silo za preprosta gesla. Ophcrack je na voljo v operacijskih sistemih Windows, macOS in Linux.

Verjetno najmočnejša točka THC Hydra ni možno število glav, ki jih lahko goji, temveč samo število protokolov, ki jih podpira in ki se zdi, da se tudi povečuje! To je odprtokodno orodje za razbijanje gesel za prijavo v omrežje, ki deluje z omrežji Cisco AAA, FTP, HTTP-Proxy, IMAP, MySQL, Oracle SID, SMTP, SOCKS5, SSH in Telnet, če omenimo le nekatere.

Metode, ki so na voljo v orodju THC Hydra, vključujejo napade z grobo silo in slovarske napade, uporabljajo pa tudi sezname besed, ki jih ustvarijo druga orodja. Ta program za razbijanje gesel je znan po svoji hitrosti zaradi večnitnega testiranja kombinacij. Hkrati lahko izvaja tudi preverjanja različnih protokolov. Program THC Hydra je na voljo v operacijskih sistemih Windows, macOS in Linux.

Hashcat je brezplačno odprtokodno orodje, ki je na voljo v operacijskih sistemih Windows, macOS in Linux ter se predstavlja kot najhitrejši program za razbijanje gesel na svetu. Ponuja številne tehnike, od preprostega napada z grobo silo do hibridne maske s seznamom besed.

Hashcat lahko uporablja tako procesor kot grafični procesor, tudi hkrati. Tako je razbijanje več hešev hkrati veliko hitrejše. Vendar je to orodje resnično univerzalno zaradi števila podprtih vrst hasha. Hashcat lahko dešifrira MD5, SHA3-512, ChaCha20, PBKDF2, Kerberos 5, 1Password, LastPass, KeePass in številne druge. Pravzaprav podpira več kot 300 vrst hasha.

Preden lahko začnete razbijati, morate najprej pridobiti hash gesla. Tukaj je nekaj najbolj priljubljenih orodij za pridobivanje hasha:

• Mimikatz. Mimikatz je znan kot aplikacija za revizijo in obnovo gesel, uporablja pa se lahko tudi za iskanje zlonamernih hashov. Pravzaprav lahko pridobi tudi gesla v navadnem besedilu ali kode PIN.

• Wireshark. Wireshark vam omogoča snifanje paketov. Gre za večkrat nagrajeni analizator paketov, ki ga ne uporabljajo le hekerji, temveč tudi poslovne in vladne ustanove.

• Metasploit. To je priljubljeno ogrodje za penetracijsko testiranje. Metasploit je namenjen varnostnim strokovnjakom, hekerji pa ga lahko uporabljajo tudi za pridobivanje geselskih gesel.

Ne glede na to, kako dober je vaš spomin ali upravljalnik gesel, bo to, da ne ustvarite dobrega gesla, imelo neželene posledice. Kot smo obravnavali v tem članku, lahko orodja za razbijanje gesel šibka gesla dešifrirajo v nekaj dneh, če ne celo urah. Zato se čutimo dolžne spomniti na nekaj ključnih nasvetov za oblikovanje močnega gesla:

• Dolžina. Dolžina je najpomembnejši dejavnik, kot je to pogosto.
• Združite črke, številke in posebne znake. To močno poveča število možnih kombinacij.
• Ne uporabljajte ponovno. Tudi če je geslo teoretično močno, boste s ponovno uporabo postali ranljivi.
• Izogibajte se stavkom, ki jih je mogoče zlahka uganiti. Beseda, ki je v slovarju, na ovratnici vašega hišnega ljubljenčka ali na vaši registrski tablici, je velik NE.

Če želite izvedeti več o ustvarjanju dobrih gesel, si oglejte članek Kako ustvariti močno geslo. Preizkusite lahko tudi naš generator gesel, ki vam bo pomagal ustvariti varna gesla.

Če niste dovolj samozavestni pri ustvarjanju več močnih gesel, vam z uporabo upravitelja gesel, kot je NordPass, to ne bo več predstavljalo težav. NordPass ustvarja neomajna gesla in uporablja šifriranje vojaške kakovosti!

Na to ni jasnega odgovora. Za začetek so vsa zgoraj opisana orodja za razbijanje gesel povsem zakonita. To pa zato, ker imajo ključno vlogo pri preverjanju ranljivosti in lahko pomagajo tudi pri obnovi izgubljenega gesla. Poleg tega takšna orodja pomagajo organom pregona v boju proti kriminalu. Tako kot je pogosto, lahko razbijanje gesel pomaga tako dobrim kot slabim namenom.

Kar zadeva razbijanje gesel kot dejavnost, je to odvisno od dveh dejavnikov. Prvi je, da heker nima pooblastil za dostop do določenih podatkov. Drugič, cilj je kraja, poškodovanje ali drugačna zloraba podatkov. Tudi če je prisoten le eden od teh dejavnikov, bo heker najverjetneje prejel kazen, od denarne kazni do večletne zaporne kazni.

Če povzamemo: če ni nagrade za napake, dogovora o izvedbi penetracijskega testiranja in prošnje za pomoč pri povrnitvi izgubljenega gesla, je kreking nezakonit.

Razbijanje gesel je lažje, kot si večina uporabnikov misli. Na voljo je veliko brezplačnih orodij in nekatera od njih so dovolj enostavna tudi za začetnike. Na voljo je tudi več tehnik za razbijanje gesel, ki jih lahko preizkusite. Lomljenje gesel se razvija iz dneva v dan, začenši s preprostim napadom z grobo silo in nadaljujoč s prefinjenimi metodami, ki združujejo različne tehnike.

Najboljša zaščita pred razbijanjem gesel je uporaba močnega gesla. Uporaba dovolj simbolov in različnih znakov zagotavlja, da tudi najhitrejši računalnik ne bo mogel razbiti vašega računa še v tem življenju. Ker si je zapomniti več močnih gesel malo verjetno, je najboljša izbira uporaba zanesljivega upravitelja gesel. Dvostopenjsko preverjanje pristnosti je še vedno bolečina za vsakega hekerja, zato bo dodajanje prstne ali obrazne identifikacije zagotovilo varnost vaših podatkov vsaj v bližnji prihodnosti.