Table of Contents
Existuje mnoho spôsobov, ako sa nabúrať do účtu. Jedným z nich je aj prelomenie hesla, pri ktorom sa používajú rôzne výpočtové a iné metódy na prelomenie kroku overenia hesla. V súčasnosti môžete nájsť aj špecializované nástroje na lámanie hesiel, ktoré sa nemusia používať len na zlé účely.
Aby ste sa nestali obeťou prelomenia hesla, môžete využiť aj nástroje na správu a generovanie hesiel. Tie šifrujú vaše heslá pomocou neprelomiteľných šifier a pomáhajú vytvárať prakticky neprelomiteľné heslá za cenu, ktorá je prijateľná pre peňaženku.
V tomto článku sa však budeme venovať 8 technikám prelomenia hesla. Čítajte ďalej a dozviete sa, čo je to prelamovanie hesiel a ako sa vykonáva.
Čo je to prelomenie hesla?
Lúštenie hesiel znamená obnovenie hesiel z počítača alebo z údajov, ktoré počítač prenáša. Nemusí ísť o zložitú metódu. Útok hrubou silou, pri ktorom sa overujú všetky možné kombinácie, je tiež lúštením hesiel.
Ak je heslo uložené ako obyčajný text, útočník získa pri nabúraní do databázy všetky informácie o účte. V súčasnosti sa však väčšina hesiel ukladá pomocou funkcie odvodenia kľúča (KDF). Tá vezme heslo a preženie ho cez jednosmernú šifru, čím sa vytvorí takzvaný “hash”. Server ukladá hash-verziu hesla.
Pri používaní GPU alebo botnetu je ľahké skúšať rôzne zaheslované heslá vysokou rýchlosťou. Preto väčšina hashovacích funkcií hesiel používa algoritmy na rozťahovanie kľúčov, ktoré zvyšujú zdroje (a teda aj čas) potrebné na útok hrubou silou.
Niektoré metódy prelomenia hesla sa výrazne sťažia, ak heslo používa solenie alebo rozťahovanie kľúčov. Žiaľ, stále existujú služby, ktoré na svojich serveroch ukladajú nešifrované alebo slabo šifrované heslá.
Najlepšie blokátory reklám pre iPhone
Ako vytvoriť silné heslo?
- Používajte dlhé kombinácie hesiel pozostávajúce z minimálne 8 symbolov.
- Zahŕňajte veľké a malé písmená, číslice a symboly.
- Vyhnite sa opakovanému používaniu hesiel
- Získajte bezpečného správcu hesiel na vytvorenie silných hesiel
8 najlepších techník prelomenia hesla používaných hackermi
Hackeri chcú prirodzene použiť čo najjednoduchšiu dostupnú metódu na prelomenie hesla. Najčastejšie je takouto metódou phishing, ktorý je podrobne opísaný nižšie. Pokiaľ je človek najslabším článkom akéhokoľvek bezpečnostného systému, je najlepšie zamerať sa naňho. Ak sa to nepodarí, môžete vyskúšať množstvo ďalších techník prelomenia hesla.
Hoci sú heslá veľmi obľúbeným nástrojom zabezpečenia účtu, nemusia byť nevyhnutne najbezpečnejšou možnosťou. To platí najmä v prípade, ak používateľ vytvorí slabé heslo, opakovane ho použije a uloží jeho kópiu v otvorenom texte niekde na internete. Preto používanie správcu hesiel, biometrických údajov (ktoré majú aj svoje nevýhody) alebo pridanie druhého faktora spôsobí, že väčšina nižšie uvedených metód prelomenia bude zbytočná.
Typický útok na prelomenie hesla vyzerá takto:
- Získanie hashov hesiel
- Príprava hashov pre vybraný nástroj na praskanie
- Výber metodiky prelomenia
- Spustite nástroj na praskanie
- Vyhodnotenie výsledkov
- V prípade potreby upravte útok
- Prejdite na krok 2
Teraz si rozoberieme najobľúbenejšie techniky prelomenia hesla. Existuje mnoho prípadov, keď sa tieto techniky pre väčší účinok kombinujú.
1. Phishing
Phishing je najobľúbenejšia technika, ktorá spočíva v tom, že používateľ klikne na prílohu e-mailu alebo odkaz, ktorý obsahuje škodlivý softvér. Metódy tohto postupu zvyčajne zahŕňajú zaslanie nejakého dôležitého a oficiálne vyzerajúceho e-mailu, ktorý upozorňuje na to, aby ste konali skôr, než bude neskoro. Nakoniec sa automaticky nainštaluje softvér na extrahovanie hesla alebo používateľ zadá údaje o svojom účte do vzhľadovo podobnej webovej stránky.
Existujú rôzne typy phishingu prispôsobené konkrétnej situácii, preto sa pozrieme na niekoľko bežných typov:
- Spear phishing sa zameriava na konkrétnu osobu a pred útokom sa snaží získať čo najviac osobných informácií.
- Veľrybárstvo sa zameriava na vedúcich pracovníkov a využíva obsah špecifický pre danú spoločnosť, ktorým môže byť sťažnosť zákazníka alebo list od akcionára.
- Hlasový phishing zahŕňa falošnú správu z banky alebo inej inštitúcie, ktorá žiada používateľa, aby zavolal na infolinku a zadal údaje o svojom účte.
2. Malvér
Ako ste videli, súčasťou techniky phishingu je často aj malvér. Môže však fungovať aj bez faktora “sociálneho inžinierstva”, ak je používateľ dostatočne naivný (zvyčajne je). Dva najbežnejšie typy malvéru na krádež hesiel sú keyloggery a screen scrapery. Ako naznačujú ich názvy, prvý z nich odošle hackerovi všetky stlačené klávesy a druhý nahrá snímky obrazovky.
Na krádež hesla možno použiť aj iné typy škodlivého softvéru. Trojský kôň so zadnými dverami môže poskytnúť úplný prístup k počítaču používateľa, a to aj pri inštalácii takzvaného sivého softvéru. Tieto programy, známe aj ako potenciálne nechcené aplikácie, sa zvyčajne nainštalujú po kliknutí na nesprávne tlačidlo “Stiahnuť” na niektorej webovej stránke. Zatiaľ čo väčšina z nich zobrazuje reklamy alebo predáva údaje o používaní webu, niektoré môžu nainštalovať oveľa nebezpečnejší softvér.
3. Sociálne inžinierstvo
Táto technika prelomenia hesla sa spolieha na dôverčivosť a môže, ale nemusí využívať sofistikovaný softvér alebo hardvér – phishing je typom schémy sociálneho inžinierstva.
Technológia priniesla revolúciu v sociálnom inžinierstve. V roku 2019 hackeri použili umelú inteligenciu a hlasovú technológiu, aby sa vydávali za majiteľa firmy a oklamali generálneho riaditeľa, aby previedol 243 000 dolárov. Tento útok ukázal, že predstieranie hlasu už nie je budúcnosťou a imitácia videa sa stane bežnou skôr, ako si myslíte.
Útočník zvyčajne kontaktuje obeť v prestrojení za zástupcu nejakej inštitúcie a snaží sa získať čo najviac osobných údajov. Existuje aj možnosť, že keď sa bude vydávať za zástupcu banky alebo spoločnosti Google, môže hneď získať heslo alebo údaje o kreditnej karte. Na rozdiel od ostatných techník môže sociálne inžinierstvo prebiehať aj offline, a to tak, že obeti zavolá alebo sa s ňou dokonca osobne stretne.
4. Útok hrubou silou
Ak všetko ostatné zlyhá, ako poslednú možnosť majú lúštitelia hesiel útok hrubou silou. V podstate ide o vyskúšanie všetkých možných kombinácií, až kým netrafíte jackpot. Nástroje na lámanie hesiel však umožňujú modifikovať tento útok a výrazne skrátiť čas potrebný na overenie všetkých variantov. Slabým článkom je tu opäť používateľ a jeho zvyky.
Ak sa útočníkovi podarilo heslo vynútiť hrubou silou, bude predpokladať, že heslo bolo opätovne použité, a vyskúša rovnakú kombináciu prihlasovacích údajov v iných online službách. Tento postup je známy ako credential stuffing a je veľmi populárny v ére únikov dát.
5. Slovníkový útok
Slovníkový útok je typ útoku hrubou silou a často sa používa spolu s inými typmi útokov hrubou silou. Automaticky kontroluje, či heslo nie je nejaká často používaná fráza, napríklad “iloveyou”, a to nahliadnutím do slovníka. Útočník môže pridať aj heslá z iných uniknutých účtov. V takomto scenári sa šanca na úspešný slovníkový útok výrazne zvyšuje.
Ak by si používatelia vyberali silné heslá, ktoré neobsahujú len jedno slovo, takéto útoky by sa rýchlo zmenili na jednoduchý útok hrubou silou. V prípade, že používate správcu hesiel, potom je najlepšou voľbou generovanie náhodného súboru symbolov. A ak ho nepoužívate, skvelá je aj dlhá fráza zložená aspoň z piatich slov. Len ju nezabudnite opakovane používať pre každé konto.
6. Spidering
Spidering je doplnková technika prelomenia hesla, ktorá pomáha pri vyššie uvedených útokoch hrubou silou a slovníkových útokoch. Zahŕňa zhromažďovanie informácií o obeti, zvyčajne o spoločnosti, pričom sa predpokladá, že niektoré z týchto informácií použije na vytvorenie hesla. Cieľom je vytvoriť zoznam slov, ktorý by pomohol rýchlejšie uhádnuť heslo.
Po preverení webovej stránky spoločnosti, sociálnych médií a iných zdrojov možno dospieť k takémuto záveru:
- Meno zakladateľa – Mark Zuckerberg
- Dátum narodenia zakladateľa – 1984 05 14
- Sestra zakladateľa – Randi
- Druhá sestra zakladateľa – Donna
- Názov spoločnosti – Facebook
- Sídlo spoločnosti – Menlo Park
- Poslanie spoločnosti – dať ľuďom silu budovať komunitu a zbližovať svet
Teraz ho už len stačí nahrať do vhodného nástroja na prelomenie hesla a využiť jeho výhody.
7. Hádanie
Aj keď hádanie nie je ani zďaleka najpopulárnejšou technikou prelomenia hesla, súvisí s vyššie uvedeným pavúkovaním zameraným na podnikanie. Niekedy útočník ani nemusí zhromažďovať informácie o obeti, pretože mu stačí vyskúšať niektoré z najpopulárnejších hesiel. Ak si spomínate, že používate jedno alebo viac patetických hesiel z nižšie uvedeného zoznamu, dôrazne odporúčame ich teraz zmeniť.
Niektoré z najbežnejších hesiel na svete:
- 123456
- 123456789
- qwerty
- heslo
- 12345
- qwerty123
- 1q2w3e
- 12345678
- 111111
- 1234567890
Hoci počet ľudí, ktorí používajú jednoduché alebo predvolené heslá ako “password”, “qwerty” alebo “123456”, klesá, mnohí stále milujú jednoduché a zapamätateľné frázy. Tie často obsahujú mená domácich miláčikov, milencov, milovníkov domácich zvierat, bývalých domácich miláčikov alebo niečo, čo súvisí s aktuálnou službou, napríklad jej názov (s malými písmenami).
Ako bezpečne používať torrenty v roku 2023
8. Útok na dúhový stôl
Ako už bolo spomenuté, jednou z prvých vecí pri lúštení hesla je získanie hesla vo forme hash. Potom vytvoríte tabuľku bežných hesiel a ich hashovaných verzií a skontrolujete, či sa heslo, ktoré chcete prelomiť, zhoduje s niektorými položkami. Skúsení hackeri majú zvyčajne k dispozícii dúhovú tabuľku, ktorá zahŕňa aj uniknuté a predtým prelomené heslá, čo zvyšuje účinnosť.
Dúhové tabuľky najčastejšie obsahujú všetky možné heslá, takže sú extrémne veľké a zaberajú stovky GB. Na druhej strane však urýchľujú samotný útok, pretože väčšina údajov je už k dispozícii a stačí ich len porovnať s cieľovým heslom – hashom. Našťastie sa väčšina používateľov dokáže pred takýmito útokmi chrániť pomocou veľkých solí a rozťahovania kľúčov, najmä pri použití oboch.
Ak je soľ dostatočne veľká, napríklad 128-bitová, dvaja používatelia s rovnakým heslom budú mať jedinečné hashe. To znamená, že generovanie tabuliek pre všetky soli bude trvať astronomicky dlho. Čo sa týka naťahovania kľúča, predlžuje čas hašovania a obmedzuje počet pokusov, ktoré môže útočník v danom čase vykonať.
Nástroje na prelomenie hesla
Žiadne prelomenie hesla sa nezačne bez vhodných nástrojov. Keď musíte hádať z miliárd kombinácií, je viac ako vítaná pomoc výpočtovej techniky. Ako vždy, každý nástroj má svoje pre a proti.
Tu je zoznam najobľúbenejších nástrojov na prelomenie hesla bez určenia poradia.
1. John Rozparovač
John the Ripper je bezplatná aplikácia s otvoreným zdrojovým kódom založená na príkazoch, ktorá je uvedená v mnohých zoznamoch populárnych nástrojov na lámanie hesiel. Je k dispozícii pre operačné systémy Linux a macOS, zatiaľ čo používatelia systémov Windows a Android dostanú balík Hash Suite, ktorý vyvinul prispievateľ.
John the Ripper podporuje obrovský zoznam rôznych typov šifier a hashov. Niektoré z nich sú:
- Heslá používateľov systémov Unix, MacOS a Windows
- Webové aplikácie
- Databázové servery
- Zachytenie sieťovej prevádzky
- Šifrované súkromné kľúče
- Disky a systémy súborov
- Archív
- Dokumenty
K dispozícii je aj verzia Pro s ďalšími funkciami a vlastnými balíkmi pre podporované operačné systémy. Zoznamy slov používané pri lúštení hesiel sú v predaji, ale k dispozícii sú aj bezplatné možnosti.
2. Kain a Ábel
Cain & Abel je ďalší populárny nástroj na lámanie hesiel, ktorý bol z oficiálneho zdroja stiahnutý takmer 2 milióny krát. Na rozdiel od programu John the Ripper však používa grafické rozhranie, vďaka čomu je okamžite používateľsky prívetivejší. To a skutočnosť, že je k dispozícii len pre systém Windows, robí z Cain & Abel nástroj pre amatérov, známych aj ako script kiddies.
Ide o viacúčelový nástroj, ktorý dokáže vykonávať mnoho rôznych funkcií. Cain & Abel môže fungovať ako analyzátor paketov, zaznamenávať VoIP, analyzovať smerovacie protokoly alebo vyhľadávať bezdrôtové siete a získavať ich adresy MAC. Ak už máte hash, tento nástroj ponúkne možnosť slovníkového útoku alebo útoku hrubou silou. Cain & Abel dokáže zobraziť aj heslá, ktoré sa skrývajú pod hviezdičkami.
3. Ophcrack
Ophcrack je bezplatný nástroj s otvoreným zdrojovým kódom na prelamovanie hesiel, ktorý sa špecializuje na útoky pomocou dúhovej tabuľky. Presnejšie povedané, prelamuje heslá LM a NTLM, pričom prvé z nich sú určené pre systém Windows XP a staršie operačné systémy a druhé sa spájajú so systémami Windows Vista a 7. NTLM je do určitej miery dostupný aj v systémoch Linux a freeBSD. Oba tieto typy hashov sú nezabezpečené – hash NTLM je možné s rýchlym počítačom prelomiť za menej ako 3 hodiny.
Ako vidíte na obrázku vyššie, prelomenie hesla s 8 symbolmi pomocou dúhovej tabuľky, ktorá obsahuje písmená, čísla a veľké písmená, trvalo softvéru Ophcrack iba šesť sekúnd. To je dokonca viac premenných, ako majú zvyčajne bežné heslá.
Tento nástroj obsahuje bezplatné dúhové tabuľky pre systém Windows XP/Vista/7 a funkciu útoku hrubou silou pre jednoduché heslá. Aplikácia Ophcrack je k dispozícii pre systémy Windows, MacOS a Linux.
4. THC Hydra
Pravdepodobne najsilnejšou stránkou THC Hydra nie je možný počet hláv, ktoré môže pestovať, ale samotný počet protokolov, ktoré podporuje a ktoré sa zdajú byť tiež rastúce! Ide o open-source nástroj na prelamovanie hesiel pre prihlasovanie do siete, ktorý pracuje napríklad s Cisco AAA, FTP, HTTP-Proxy, IMAP, MySQL, Oracle SID, SMTP, SOCKS5, SSH a Telnet.
Metódy dostupné v nástroji THC Hydra zahŕňajú útoky hrubou silou a slovníkové útoky, pričom sa používajú aj zoznamy slov vytvorené inými nástrojmi. Tento program na lámanie hesiel je známy svojou rýchlosťou vďaka viacvláknovému testovaniu kombinácií. Dokáže dokonca vykonávať kontroly rôznych protokolov súčasne. THC Hydra je k dispozícii v systémoch Windows, macOS a Linux.
5. Hashcat
Hashcat je bezplatný nástroj s otvoreným zdrojovým kódom, ktorý je k dispozícii v systémoch Windows, macOS a Linux a ktorý sa označuje za najrýchlejší nástroj na lámanie hesiel na svete. Ponúka množstvo techník, od jednoduchého útoku hrubou silou až po hybridnú masku so zoznamom slov.
Hashcat dokáže využívať CPU aj GPU, a to dokonca súčasne. Vďaka tomu je lúštenie viacerých hashov súčasne oveľa rýchlejšie. Čo však robí tento nástroj skutočne univerzálnym, je počet podporovaných typov hashov. Hashcat dokáže dešifrovať MD5, SHA3-512, ChaCha20, PBKDF2, Kerberos 5, 1Password, LastPass, KeePass a mnohé ďalšie. V skutočnosti podporuje viac ako 300 typov hashov.
Predtým, ako začnete s lúštením, však musíte najprv získať hash hesla. Tu sú niektoré z najpopulárnejších nástrojov na získanie hash:
- Mimikatz. Aplikácia Mimikatz, známa ako aplikácia na audit a obnovu hesiel, sa dá použiť aj na vyhľadávanie zlomyseľných hashov. V skutočnosti môže rovnako dobre získavať heslá v obyčajnom texte alebo kódy PIN.
- Wireshark. Wireshark vám umožňuje vykonávať sniffing paketov. Je to oceňovaný analyzátor paketov, ktorý používajú nielen hackeri, ale aj obchodné a vládne inštitúcie.
- Metasploit. Ide o populárny rámec na penetračné testovanie. Metasploit je určený pre bezpečnostných profesionálov, ale hackeri ho môžu používať aj na získavanie hashov hesiel.
Ako vytvoriť silné heslo?
Bez ohľadu na to, aká dobrá je vaša pamäť alebo správca hesiel, nevytvorenie dobrého hesla povedie k neželaným následkom. Ako sme uviedli v tomto článku, nástroje na prelamovanie hesiel dokážu rozlúštiť slabé heslá za niekoľko dní, ak nie hodín. Preto cítime povinnosť pripomenúť niektoré kľúčové tipy na vymyslenie silného hesla:
- Dĺžka. Ako to už býva, dĺžka je najdôležitejším faktorom.
- Kombinujte písmená, čísla a špeciálne znaky. Tým sa výrazne zvýši počet možných kombinácií.
- Nepoužívajte ich opakovane. Aj keď je vaše heslo teoreticky silné, jeho opakované používanie vás robí zraniteľnými.
- Vyhnite sa ľahko uhádnuteľným frázam. Slovo, ktoré je v slovníku, na obojku vášho domáceho miláčika alebo na vašej poznávacej značke, je veľké NIE.
Ak sa chcete dozvedieť viac o vytváraní dobrých hesiel, pozrite si náš článok Ako vytvoriť silné heslo. Môžete tiež vyskúšať náš generátor hesiel, ktorý vám pomôže vymyslieť bezpečné heslá.
Profesionálny tip Cybernews
Ak si nie ste dostatočne istí pri vytváraní viacerých silných hesiel, so správcom hesiel, ako je NordPass, si už nebudete musieť robiť starosti. NordPass generuje neotrasiteľné heslá a používa šifrovanie vojenskej úrovne!
Je prelomenie hesla nezákonné?
Na túto otázku neexistuje jednoznačná odpoveď. Na začiatok, všetky vyššie opísané nástroje na prelomenie hesla sú úplne legálne. Hrajú totiž kľúčovú úlohu pri kontrole zraniteľností a môžu tiež pomôcť obnoviť stratené heslo. Navyše takéto nástroje pomáhajú orgánom činným v trestnom konaní v boji proti trestnej činnosti. Takže ako to často býva, prelamovanie hesiel môže pomôcť dobrej aj zlej veci.
Pokiaľ ide o lámanie hesiel ako činnosť, závisí to od dvoch faktorov. Po prvé, hacker nemá oprávnenie na prístup k daným údajom. Po druhé, cieľom je ukradnúť, poškodiť alebo inak zneužiť údaje. Aj keď je prítomný len jeden z týchto faktorov, hacker s najväčšou pravdepodobnosťou dostane trest od pokuty až po viacročné väzenie.
Zhrnuté, ak neexistuje odmena za chybu, dohoda o vykonaní penetračného testovania ani žiadosť o pomoc pri obnove strateného hesla, je crackovanie nelegálne.
Spodný riadok
Prelomenie hesla je jednoduchšie, ako si väčšina používateľov myslí. Existuje množstvo bezplatných nástrojov a niektoré z nich sú dostatočne jednoduché aj pre začínajúcich lúštiteľov. Existuje tiež viacero techník lámania hesiel, ktoré môžete vyskúšať. Počnúc jednoduchým útokom hrubou silou a končiac sofistikovanými metódami, ktoré kombinujú rôzne techniky, sa lámanie hesiel vyvíja každým dňom.
Najlepšou obranou proti prelomeniu hesla je používanie silného hesla. Používanie dostatočného množstva symbolov a rôznych znakov zaručí, že ani ten najrýchlejší počítač neprelomí váš účet v tomto živote. A keďže zapamätať si viacero silných hesiel je nepravdepodobné, najlepšou voľbou je používať spoľahlivého správcu hesiel. Dvojfaktorová autentifikácia je stále tŕňom v oku každého hackera, takže pridanie identifikátora prsta alebo tváre zabezpečí vaše údaje v bezpečí aspoň v dohľadnej budúcnosti.