Skip to content

Password Cracking

Password cracking is een belangrijk onderdeel van ethical hacking omdat het helpt om de kwetsbaarheden in de beveiliging van een systeem bloot te leggen en te testen. Helaas maken gebruikers en bedrijven nog steeds veel gebruik van zwakke wachtwoorden. Uit onderzoek blijkt dat veel mensen nog steeds wachtwoorden gebruiken zoals "123456" en "password", die gemakkelijk te raden zijn en weinig bescherming bieden tegen hacking. Er worden nog steeds apparaten verkocht waar je moet een standaard gebruikersnaam en wachtwoord kunt inloggen. Op een website als Shodan1 staat het vol met apparaten die niet goed beveiligd zijn.

Ook worden wachtwoorden vaak hergebruikt voor verschillende accounts, wat de beveiliging van die accounts nog verder vermindert. Hackers kunnen namelijk wachtwoorden die zijn gelekt bij een datalek, gebruiken om toegang te krijgen tot andere accounts van dezelfde gebruiker, als hetzelfde wachtwoord wordt gebruikt.

Door middel van password cracking kan een ethical hacker proberen toegang te krijgen tot systemen, applicaties en gegevens door het raden of kraken van wachtwoorden. Als een ethical hacker erin slaagt om een wachtwoord te kraken, kan dit aantonen dat het wachtwoordbeleid van het doelsysteem zwak is en dat de beveiliging ervan verbeterd moet worden. Ik heb voor jou de meest gebruikte wachtwoord krakers op een rij gezet.

John the Ripper

John the Ripper

Bijna alle ethical hackingtools hebben een leipe naam, wen er maar aan. John the Ripper helpt je bij het vinden van zwakke wachtwoorden en herstelt de toegang tot vergrendelde bestanden die met een wachtwoord beveiligd zijn. Het kan gebruikers automatisch via e-mail waarschuwen voor gemakkelijk gecompromitteerde accounts. Het heeft een aparte grafische gebruikersinterface genaamd Johnny. Natuurlijk zit Johnny standaard in Kali.

Voordelen

  • Gemakkelijk te installeren en te leren
  • Gebruikt door professionele pentesters en ethische hackers
  • Kan automatisch encryptiemethoden detecteren
  • Ondersteunt het kraken van meerdere soorten wachtwoorden, salts en hashes
  • Onthoudt eerdere exploits
  • Te combineren met vooraf gebouwde, bewezen pakketten en open-source woordenboeken voor betere prestaties

Hydra

Hydra

Hydra is een populaire open-source tool voor het uitvoeren van brute-force aanvallen op systemen en applicaties om zwakke wachtwoorden te detecteren. Het kan worden gebruikt voor het kraken van wachtwoorden op verschillende protocollen, zoals FTP, SSH, Telnet, HTTP, POP3, IMAP en vele anderen.

Hydra ondersteunt verschillende soorten authenticatiemethoden en kan verschillende soorten aanvallen uitvoeren, zoals dictionary-aanvallen, hybride aanvallen en brute-force-aanvallen. Het heeft een gebruiksvriendelijke interface en kan eenvoudig worden geconfigureerd om verschillende aanvalsscenario's uit te voeren.

Voordelen

  • Hydra is Flexibel
  • Snel
  • Gemakkelijk om nieuwe modules toe te voegen
  • Heeft command-line en grafische gebruikersinterfaces
  • Coole naam
  • Vet logo

Methoden

Woordenboekaanval: Hierbij probeert de hacker combinaties van woorden uit een woordenboek uit om het wachtwoord te raden. Dit werkt vaak goed als het wachtwoord een gewoon woord of een veelvoorkomende combinatie van woorden is.

Brute force-aanval: Dit is een methode waarbij een hacker alle mogelijke combinaties van letters, cijfers en symbolen uitprobeert totdat het juiste wachtwoord is gevonden. Dit is een zeer tijdrovende methode en kan weken of maanden duren, afhankelijk van de lengte en complexiteit van het wachtwoord.

Social engineering: In sommige gevallen kan een hacker proberen het wachtwoord te achterhalen door informatie te verzamelen over de gebruiker, zoals zijn of haar geboortedatum, favoriete huisdier, of andere persoonlijke informatie die kan worden gebruikt om het wachtwoord te raden. Veel mensen zetten heel hun hebben en houden op Social Media, dat maakt het hackers wel erg makkelijk.

Phishing: Bij deze methode probeert een hacker de gebruiker te verleiden om zijn of haar wachtwoord vrijwillig af te staan door zich voor te doen als een betrouwbare instantie, zoals een bank of een online dienst. Ja, wij hackers zijn verleiders.

Keylogging: Hierbij installeert de hacker een programma op de computer van het doelwit om alle toetsaanslagen te registreren, waardoor het wachtwoord kan worden achterhaald.

  1. Ik heb gelinked naar de '2000' versie van Shodan. Gewoon omdat je daar vette retro gamemuziek kunt aanzetten.