5种最流行的密码破解工具:保护您的账号
密码 我们到底是怎么到达这里的?他们已经存在了很多年,但是关于它们还有很多话要说。
在大多数组织中,密码是阻止网络犯罪分子和遭受网络攻击的受害者之间的区别。对于这么多组织的众多应用程序,系统和基础架构,防止未经授权访问的唯一安全控制措施是一个简单的密码,长度在4到127个字符之间。
密码(有时称为密码,密码,PIN或机密)用于确保只有授权的员工或用户才能访问应用程序和系统。密码通常与标识符(通常是用户名或电子邮件地址)结合使用,以确定谁在访问系统,以验证该身份的真实性。密码只应为用户所知,不得共享。密码(有时称为密码,密码,PIN或机密)用于确保只有授权的员工或用户才能访问应用程序和系统。密码通常与标识符(通常是用户名或电子邮件地址)结合使用,以确定谁在访问系统,以验证该身份的真实性。密码只应为用户所知,不得共享。
通常,密码是一组字符组合,例如字母,数字和符号,用于验证身份或验证访问系统或应用程序的授权。但是,并非所有登录系统都执行相同的安全最佳做法。不同的身份验证系统需要不同的长度和复杂的密码字符串,这带来了挑战。一些系统设置了密码长度限制,一些系统设置了密码复杂度限制,有些系统甚至要求所有小写字符。
另一种流行的登录方法是PIN。这通常是指仅用于数字的密码,通常为4-6个数字,并且通常在移动设备上使用。作为最佳实践,您应该了解登录系统的限制,以便可以确保配置和使用最高的安全性。并确保您的安全解决方案可用且不太复杂,否则用户将恢复不良的密码卫生习惯,例如在多个系统和凭据之间重用密码。
登录系统并非都提供相同的安全性
大多数登录系统使用一种称为哈希的加密技术将密码存储在数据库中,并且该哈希应该是一种单向算法。除了用户或系统外,没有人应该不知道明文密码。
在安全研究人员发现“冲突”之前,过去最常用的哈希是SHA1。这是两个不同的输入创建相同的输出的时候。这对安全性不利,意味着SHA1无法再用于存储密码。重要的是要知道使用了哪种哈希算法,以及它是否还包含盐:将额外的随机数据添加到输入中。
那么,网络罪犯如何破解或窃取您的密码来访问应用程序和系统?
大多数网络罪犯都希望使用最简单,最隐秘和最便宜的方式来窃取密码。网络钓鱼是最简单的方法之一,它们只是询问您密码。该技术利用了您的信任性质,当登录到假冒的登录网站(看起来很真实)时,您会在登录时将用户名和密码交给攻击者。以下是一些用于获取密码的最常用技术:
要求用户输入他们的密码,以假装自己是真实的互联网服务
使用暴力破解或字典攻击破解密码
绕过身份验证发现应用程序中的漏洞
让我们仔细看看密码破解技术:
在网络罪犯开始破解您的密码之前,他们必须首先获取哈希,如前所述,该哈希是您密码的加密存储值。有一些工具可以用来获取这些哈希值:
Mimikatz –密码恢复和审核工具
捕获数据包– Wireshark等工具捕获网络中移动的数据包
Metasploit框架 –一种安全框架,可帮助安全专业人员评估和管理安全性
响应程序 – LLMNR和NBT-NS(NetBIOS名称服务)响应程序
这是典型的密码破解流程:
窃取/获取哈希
根据工具整理和格式化哈希
计划您的攻击方法:单词表,规则和掩码
破解密码
分析密码的进度
自定义攻击
重复
5种流行的密码破解工具
Kali Linux –流行的渗透测试分发工具
Kali Linux是众所周知的安全工具,它具有从虚拟映像到软件安装的许多不同的可启动选项。它甚至可以在Raspberry PI上运行。它已在全球范围内用于渗透测试,并由IT安全团队保护其网络或在其网络中查找漏洞。Kali随附了多种流行的密码攻击工具:
Burp Suite
CeWL
Hashcat
THC-Hydra
John the Ripper
PACK
Statsprocessor
CeWL –自定义WordList生成器
CeWL是我最喜欢的单词列表生成器之一。它使您可以通过建立蜘蛛网网站来创建单词列表。
当使用CeWL时,我从如下基本命令开始:
命令行选项是:
-h =帮助
-d =到达蜘蛛站点的深度
-m =最小字长
-w =输出文件
-e =包含电子邮件
Mimikatz –安全审核工具
Mimikatz是另一个流行的安全审核工具,用于从内存中提取纯文本密码,哈希,PIN码和Kerberos票证。它主要用于在网络上横向移动,一次一次提升特权。
Hashcat – Hashcat是世界上最快,最先进的密码恢复实用程序
Hashcat是密码破解工具,最常用于执行不同的攻击模式,例如直接攻击,组合攻击,蛮力攻击和混合攻击。
Hashcat攻击模式选项:
hashcat命令的示例:
命令行选项:
-m =哈希类型(0 = MD5,100 = Sha1,1000 = NTLM)
-a =攻击模式
0 | 直
1 | 组合
3 | 暴力破解
6 | 混合词表+蒙版
7 | 混合蒙版+词表
Pipal密码分析器
当您破解密码或分析密码转储时,了解密码的一种好方法是使用密码分析器对其进行分析。有几种出色的工具,但是Pipal是我的最爱之一。这很简单,但功能强大。
您需要做的只是针对密码文件运行Pipal ruby。在以下示例中,我使用“ rockyou”密码文件:
Pipal密码分析器的输出示例:
密码破解摘要
这些只是可用的几种顶级密码破解工具,并且您可以看到,密码很容易破解。因此,重要的是使网络罪犯尽可能地难以完成任务,并确保对于关键系统和应用程序,密码不是保护您环境的唯一安全控制措施。
由于用户通常必须管理30个或更多不同的用户帐户和凭据,因此几乎可以肯定,他们将重用密码或使用相同密码的某些变体。这意味着一旦攻击者攻破了一个密码,他们猜测其他密码就只是一个时间问题,而且借助Hashcat之类的工具以及良好的单词列表和规则,这不会花很长时间!
确保密码不是保护您环境的唯一安全控制
我们必须教育最终用户并为他们提供正确的工具,以使他们不会发展不良的安全卫生习惯。让我们使安全性变得易于使用和方便,并授权用户形成更强大的一线防御。
最后,这是我的10条安全提示,可帮助用户保护自己,家人和所服务的公司。安全始于家庭。必须在工作场所之外对用户进行教育和授权。
减少密码风险的10条安全提示
使用强密码
不使用系统时注销
不要重复使用密码
使用密码管理器
密码越长越好,越好
旋转密码
使用特权访问管理(PAM)产品(业务)
使用多因素身份验证或至少2FA
审核登陆(设备锁)
不要害怕寻求建议
Burp Suite安全测试神器安装以及配置
30秒教会你用Python制作520表白神器
Web应用程序安全性测试指南
测试面试题集-性能测试
我与我的职业梦想 – 成为一名优秀的软件工程师
常见几种加密算法的Python实现
SoapUI中是如何断言的呢(一)
SoapUI中是如何断言的呢(二)
SoapUI中是如何断言的呢(三)
SoapUI中是如何断言的呢(四)
5种最流行的密码破解工具:保护您的账号相关推荐
- 十款最流行的密码破解工具
密码破解工具是普通计算机用户恢复遗忘密码.黑客窃取信息.渗透测试工程师测试应用安全常用的工具.密码破解工具通常都是通过穷举法,有些还配合使用密码字典来暴力破解密码,但这种方法的效率与密码的强度有很大关 ...
- Kali Linux - 嗅探和欺骗及密码破解工具
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 Burpsuite mitmproxy Wireshark SSLSTRIP Hydra Johnny John 总结 Bu ...
- John the Ripper 著名密码破解工具
著名密码破解工具 John the Ripper 发布了 1.9.0-jumbo-1 版本. John the Ripper 是一款速度很快的密码破解工具,目前可用于 Unix.macOS.Windo ...
- SQL Server密码破解工具简介
在对SQL Server系统执行入侵测试或者更高级别的安全审计时,有一种测试不应该被忽略,那就是SQL Server密码测试.这一点看起来显而易见,但是很多人都会忽略它. 密码测试可以帮助检查恶意入侵 ...
- 十大最受欢迎的密码破解工具
1. Brutus Brutus是一个最流行的远程在线密码破解工具.它号称是最快和最灵活的密码破解工具.此工具是免费的,只可用于 Windows 系统.早在 2000 年 10 月发布了它. 它 支持 ...
- 20款 密码破解工具
没有密码不用急!20种超全的解密工具任你选!!值得下载珍藏的呀!! 以下含扩了从系统密码到应用软件.最高深的BIOS到最常见的ZIP.RAR压缩文件几乎所有的密码解读.解密工具(共计190条),以方便 ...
- oclhashcat:离线hash密码破解工具官方文档(中文版)
无聊中,就把hashcat的官方文档稍微翻译了下,方便初学的朋友查看.至于oclhashcat,它是一个离线的hash密码破解工具,与hashcat不同,它支持GPU破解,速度更快,并且支持更多的ha ...
- 加密文件的识别和破解工具—比elcomsoft更适合中国市场的密码破解工具—掘密
被滥用的加密技术 数据加密技术是通过加密密钥和加密算法将一则消息转换成无意义的密文.在当今的信息社会中加密技术至关重要,由其是人们在日常生活中使用的一系列通用信息和通信技术的基础,数据加密变成了对信息 ...
- 小巧密码破解工具IE PassView使用指南
一:软件下载与安装 载完成后将压缩包解压,双击名称为"iepv_setup.exe"的可执行文件,弹出安装界面如图: 图一 点击安装后,会出现"安装成功"的对话 ...
- 【EWSA无线路由密码破解工具 中文特别版下载】含教程及字典(弱口令生日特殊符号等)
From: http://softbbs.zol.com.cn/1/32_8011.html Elcomsoft Wireless Security Auditor简称EWSA,是一款极为强悍的路由密 ...
最新文章
- springboot springmvc 抛出全局异常解决方法
- advances search design time和runtime显示差异的原因
- (原创)eCos驱动分析 之 ISR是如何与硬件中断联系起来的?
- 不删除旧版本java_Linux 卸载旧版jdk 并安装新版jdk(转)
- 【Android】完善Android学习(二:API 2.3.4)
- idea怎么调试jsp页面_一文学会JSP
- 每周荐书:高可用架构、解忧程序员、财富自由之路(评论送书)
- 关于SQL时间类型的模糊查询
- 自己的旧手机做html服务器,旧手机改座机_怎么将手机改成为座机
- 微信开发者工具 推送报hook declined
- Qt制作的一款即时通讯软件
- 立创EDA学习笔记(5)——PCB设计
- Javascript(五十四)class定义构造函数
- 点云配准之NDT算法
- python混淆ios代码_iOS 代码混淆的简单使用
- 【嵌入式C语言】内存分配 malloc 和 free
- 怎样删除软件残留在添加或删除程序中的信息?
- C语言:如何extern一个结构体,当一个结构体(或结构体数组)被两个c文件同时引用时如何定义
- 【愚公系列】2023年03月 Java教学课程 063-原子性
- 1.1 机器学习介绍