Técnicas mais populares de cracking de palavras-passe: aprender a proteger a sua privacidade

Existem muitas maneiras de hackear uma conta. O cracking de palavra-passe é uma delas – envolve a utilização de vários métodos computacionais e outros para quebrar a etapa de autenticação da palavra-passe. Neste artigo vamos discutir várias técnicas de cracking de palavra-passe. Hoje em dia, é até possível encontrar ferramentas especializadas de cracking de palavra-passe, que não têm de ser utilizadas apenas para fins ilícitos. Mas antes de entrarmos em detalhes, vamos discutir o que é cracking de senha.

O que é cracking de senha e como funciona?

R cracking de senha significa recuperar senhas de um computador ou de dados que um computador transmite. Isto não tem de ser um método sofisticado. Um ataque de força bruta onde todas as combinações possíveis são verificadas é também a quebra de palavra-passe.

Se a palavra-passe for armazenada como texto simples, a invasão da base de dados dá ao atacante toda a informação da conta. Contudo, agora a maioria das palavras-passe são armazenadas usando uma função de derivação de chave (KDF). Isto pega numa palavra-passe e executa-a através de uma cifra de encriptação unidireccional, criando o que é conhecido como “hash”. O servidor armazena a versão hash da palavra-passe.

É fácil tentar diferentes palavras-passe hash a uma taxa elevada quando se utiliza uma GPU ou botnet. É por isso que a maioria das funções de hash de senhas utilizam algoritmos de estiramento de chaves, que aumentam os recursos (e, portanto, o tempo) necessários para um ataque de força bruta.

alguns métodos de cracking de senhas tornam-se significativamente mais difíceis se a sua senha utilizar sal ou estiramento de chaves. Infelizmente, ainda existem alguns serviços que armazenam palavras-passe não encriptadas ou fracamente encriptadas nos seus servidores.

Ferramentas de cracking de palavras-passe

Não se inicia o cracking de palavras-passe sem as ferramentas adequadas. Quando se tem de adivinhar a partir de milhares de milhões de combinações, alguma ajuda computacional é mais do que bem-vinda. Como sempre, cada ferramenta tem os seus prós e contras.

Mas antes de poder começar a crackear, é necessário ter primeiro o hash da palavra-passe. Aqui estão algumas das ferramentas mais populares para obter o hash:

  • Mimikatz. Conhecido como uma aplicação de auditoria e recuperação de palavra-passe, Mimikatz também pode ser utilizado para a recuperação de hash maligno. De facto, pode também extrair senhas de texto simples ou códigos PIN.
    >li> Wireshark. A Wireshark permite-lhe fazer o cheiro de pacotes, que é o número dez na nossa lista de técnicas de cracking de palavras-passe acima. Wireshark é um analisador de pacotes premiado, utilizado não só por hackers mas também por empresas e instituições governamentais.

ul>>>>li> Metasploit. Esta é uma estrutura popular de testes de penetração. Concebido para profissionais de segurança, o Metasploit também pode ser utilizado por hackers para recuperar hashes.

e agora vêm as mais populares ferramentas de cracking de palavras-passe em nenhuma ordem em particular.

John the Ripper

Disposto em muitas listas de ferramentas populares de cracking de palavras-passe, John the Ripper é uma aplicação gratuita, de código aberto, baseada em comandos. Está disponível para Linux e macOS enquanto os utilizadores de Windows e Android obtêm o Hash Suite, desenvolvido por um contribuidor.

John the Ripper suporta uma lista maciça de diferentes tipos de cifras e hash. Alguns destes são:

  • Unix, macOS, e senhas de utilizador Windows
  • Aplicações Web
  • Servidores de bases de dados
  • Capturas de tráfego de rede
  • Chaves privadas encriptadas
  • Discos e sistemas de ficheiros
  • Arquivos
  • Documentos

p>Existe também uma versão Pro com características extra e pacotes nativos para SO suportados. As listas de palavras usadas na quebra de palavra-passe estão à venda, mas também estão disponíveis opções gratuitas.

Cain & Abel

Downloaded quase 2 milhões de vezes da sua fonte oficial, Cain & Abel é outra ferramenta popular para a quebra de palavra-passe. Mas ao contrário de John the Ripper, utiliza GUI, tornando-a instantaneamente mais fácil de utilizar. Isso e o facto de estar disponível apenas no Windows faz de Cain & Abel uma ferramenta de go-to para amadores, também conhecida como script kidsdies.

Esta é uma ferramenta polivalente, capaz de muitas funções diferentes. Cain & Abel pode actuar como analisador de pacotes, registar VoIP, analisar protocolos de rotas, ou procurar redes sem fios e recuperar os seus endereços MAC. Se já tiver o hash, esta ferramenta oferecerá uma opção de ataque por dicionário ou força bruta. Cain & Abel também pode exibir senhas que estão escondidas sob os asteriscos.

Ophcrack

Ophcrack é uma ferramenta de cracking de senhas livre e de código aberto que se especializa em ataques de tabelas arco-íris. Para ser mais preciso, racha hashes LM e NTLM onde o primeiro se dirige ao Windows XP e aos sistemas operativos anteriores e o segundo associa-se ao Windows Vista e 7. NTLM está também disponível, até certo ponto, em Linux e FreeBSD. Ambos estes tipos de hash são inseguros – é possível decifrar um hash NTLM em menos de 3 horas com um computador rápido.

Como se pode ver na imagem acima, o Ophcrack demorou apenas seis segundos a decifrar uma palavra-passe de 8 símbolos enquanto usava uma tabela de arco-íris que inclui letras, números, e maiúsculas. Isso é ainda mais variáveis do que uma palavra-passe convencional normalmente tem.

Esta ferramenta vem com tabelas de arco-íris Windows XP/Vista/7 gratuitas e uma funcionalidade de ataque por força bruta para palavras-passe simples. Ophcrack está disponível em Windows, macOS, e Linux.

THC Hydra

Arguivelmente o ponto mais forte do THC Hydra não é o número possível de cabeças que pode crescer, mas o número absoluto de protocolos que suporta e que parece estar a crescer também! Esta é uma ferramenta de cracking de senha de login de rede de código aberto que funciona com Cisco AAA, FTP, HTTP-Proxy, IMAP, MySQL, Oracle SID, SMTP, SOCKS5, SSH, e Telnet, para citar apenas alguns.

Os métodos disponíveis com THC Hydra incluem ataques de força bruta e de dicionário ao mesmo tempo que utilizam listas de palavras geradas por outras ferramentas. Este cracker de senhas é conhecido pela sua velocidade graças aos testes de combinação multi-tarefa. Pode mesmo executar verificações em diferentes protocolos em simultâneo. THC Hydra está disponível em Windows, macOS, e Linux.

Hashcat

Posicionando-se como o cracker de palavras-passe mais rápido do mundo, o Hashcat é uma ferramenta gratuita de código aberto que está disponível em Windows, macOS, e Linux. Oferece uma série de técnicas, desde o simples ataque por força bruta até à máscara híbrida com lista de palavras.

Hashcat pode utilizar tanto a sua CPU como a GPU, mesmo ao mesmo tempo. Isto torna a quebra de múltiplos hashes em simultâneo muito mais rápida. Mas o que torna esta ferramenta verdadeiramente universal é o número de tipos de haxixe suportados. Hashcat pode decifrar MD5, SHA3-512, ChaCha20, PBKDF2, Kerberos 5, 1Password, LastPass, KeePass, e muitos mais. De facto, suporta mais de 300 tipos de hash.

Técnicas de cracking de palavras-passe usadas por hackers

Naturalmente, os hackers querem usar o método mais fácil disponível para cracking de palavras-passe. Na maior parte das vezes, esse método é o phishing, descrito em detalhe abaixo. Desde que o humano seja o elo mais fraco de qualquer sistema de segurança, o seu alvo é a melhor aposta. Se isso falhar, há muitas outras técnicas de cracking de senhas para tentar.

Embora as senhas sejam uma ferramenta de segurança de conta muito popular, não são necessariamente a opção mais segura. É especialmente o caso se um utilizador criar uma palavra-passe fraca, reutilizá-la e armazenar a sua cópia de texto simples algures online. É por isso que a utilização de dados biométricos (que também tem os seus contras) ou a adição de um segundo factor tornará inútil a maioria dos métodos de cracking abaixo.

Um ataque típico de cracking de palavra-passe tem este aspecto:

  1. Abter os hashes da palavra-passe
  2. Preparar os hashes para a sua ferramenta de cracking seleccionada
  3. Escolha uma metodologia de cracking
  4. Executar a ferramenta de cracking
  5. Avaliar os resultados
  6. Se necessário, afinar o seu ataque
  7. Vá ao Passo 2

Agora vamos discutir as técnicas mais populares de cracking de senhas. Há muitos casos em que estas são combinadas para maior efeito.

Phishing

Phishing é a técnica mais popular que envolve atrair o utilizador a clicar num anexo de e-mail ou num link que contém malware. Os métodos para o fazer geralmente envolvem o envio de algum e-mail importante e de aspecto oficial que avisa para tomar medidas antes que seja tarde demais. No final, o software de extracção de palavras-passe é instalado automaticamente ou o utilizador introduz os detalhes da sua conta num website semelhante.

Existem diferentes tipos de phishing adaptados a uma situação particular, por isso vamos olhar para os poucos comuns:

  • Spear phishing visa um determinado indivíduo e tenta recolher o máximo de informação pessoal possível antes do ataque.
  • O phishing de voz envolve uma mensagem falsa de um banco ou outra instituição, pedindo a um utilizador que ligue para a linha de ajuda e introduza os dados da sua conta.

    • Malware

    Como já viu, o malware também faz frequentemente parte da técnica do phishing. No entanto, pode funcionar sem o factor “engenharia social” se o utilizador for suficientemente ingénuo (normalmente é). Dois dos tipos mais comuns de malware para roubar palavras-passe são os keyloggers e os raspadores de ecrã. Como os seus nomes implicam, o primeiro envia todas as suas teclas ao hacker, e o segundo carrega as capturas de ecrã.

    Outros tipos de malware também podem ser utilizados para roubar palavras-passe. Um trojan de porta traseira pode conceder acesso total ao computador do utilizador, e isto pode acontecer mesmo quando se instala o chamado grayware. Também conhecidos como aplicações potencialmente indesejáveis, estes programas instalam-se geralmente após clicar no botão “Descarregar” errado em algum website. Embora a maioria exiba anúncios ou venda os seus dados de utilização da web, alguns podem instalar software muito mais perigoso.

    Engenharia social

    Esta técnica de quebra de palavra-passe baseia-se na credulidade e pode não empregar software ou hardware sofisticado – phishing é um tipo de esquema de engenharia social.

    Tecnologia revolucionou a engenharia social. Em 2019, os hackers usaram a IA e a tecnologia de voz para se fazerem passar por proprietários de empresas e enganaram o CEO para transferir $243.000. Este ataque demonstrou que a falsificação da voz já não é o futuro, e a imitação de vídeo tornar-se-á comum mais cedo do que se pensa.

    Usualmente, o agressor contacta a vítima disfarçado de representante de alguma instituição, tentando obter o máximo de informação pessoal possível. Há também a possibilidade de que, fazendo-se passar por um banco ou agente do Google, ele ou ela possa obter de imediato a palavra-passe ou informações de cartão de crédito. Ao contrário das outras técnicas, a engenharia social pode acontecer offline telefonando ou mesmo encontrando pessoalmente a vítima.

    Ataque de força bruta

    Se tudo o resto falhar, os crackers da palavra-passe têm o ataque de força bruta como último recurso. Envolve basicamente tentar todas as combinações possíveis até atingir o jackpot. No entanto, as ferramentas de cracking de palavra-passe permitem modificar o ataque e reduzir significativamente o tempo necessário para verificar todas as variações. O utilizador e os seus hábitos são novamente os elos fracos aqui.

    Se o atacante foi capaz de forçar brutalmente uma palavra-passe, assumirá que a palavra-passe foi reutilizada e tentará a mesma combinação de credenciais de login em outros serviços online. Isto é conhecido como recheio de credenciais e é muito popular na era das violações de dados.

    Ataque de dicionário

    Um ataque de dicionário é um tipo de ataque de força bruta e é frequentemente usado em conjunto com outros tipos de ataque de força bruta. Verifica automaticamente se a palavra-chave não é uma frase frequentemente utilizada como “iloveyou”, olhando para o dicionário. O atacante pode também adicionar palavras-passe de outras contas com fugas. Em tal cenário, a hipótese de um ataque de dicionário bem sucedido aumenta substancialmente.

    Se os utilizadores escolhessem senhas fortes que não contenham apenas uma palavra, tais ataques desceriam rapidamente para um simples ataque de força bruta. Caso se utilize um gestor de senhas, a geração de um conjunto aleatório de símbolos é a melhor escolha. E se não o fizer, uma frase longa feita de pelo menos cinco palavras também é óptima. Só não se esqueça de a reutilizar para cada conta.

    Aranhadura

    Aranhadura é uma técnica suplementar de quebra de palavra-passe que ajuda com os ataques de força bruta e dicionário acima mencionados. Envolve a recolha de informação sobre a vítima, geralmente uma empresa, presumindo que utiliza alguma dessa informação para a criação de uma palavra-passe. O objectivo é criar uma lista de palavras que ajude a adivinhar a palavra-passe mais rapidamente.

    Após verificar o website da empresa, as redes sociais, e outras fontes, é possível encontrar algo parecido com isto:

    • Nome do fundador – Mark Zuckerberg
    • Founder DOB – 1984 05 14
    • Founder’s sister – Randi
    • Founder’s other sister – Donna
    • Nome da empresa – Facebook
    • Sede social – Menlo Park
    • Missão da empresa – Dar às pessoas o poder de construir comunidade e aproximar o mundo

    Agora tudo o que tem de fazer é carregá-lo para uma ferramenta adequada de cracking de senha e colher os benefícios.

    Gueling

    Embora adivinhar esteja longe de ser a técnica mais popular de cracking de palavra-passe, relaciona-se com a aranha orientada para os negócios acima. Por vezes o atacante nem sequer tem de recolher informações sobre a vítima, porque tentar algumas das frases-passe mais populares é suficiente. Se se lembrar de utilizar uma ou mais das senhas patéticas da lista abaixo, recomendamos vivamente que as altere agora.

    algumas das palavras-passe mais comuns em 2019

    • 123456
    • qwerty
    • palavras-passe
    • iloveyou
    • admin
    • lovely
    • 7777777
    • 888888
    • princess
    • dragon

    p>P>Even, embora o número de pessoas que utilizam palavras-passe simples ou por defeito como “admin”,”qwerty,” ou “123456” está a diminuir, muitos ainda gostam de frases fáceis e memoráveis. Estas incluem frequentemente nomes de animais de estimação, amantes, amantes de animais de estimação, ex-pets, ou algo relacionado com o serviço real, como o seu nome (minúsculas).

    Ataque à mesa de arco-íris

    Como mencionado acima, uma das primeiras coisas a fazer quando a quebra de senha é obter a senha sob a forma de hash. Depois cria uma tabela de palavras-passe comuns e as suas versões de hash e verifica se a que pretende decifrar corresponde a alguma entrada. Os hackers experientes têm geralmente uma tabela de tabelas de arco-íris que também envolve senhas vazadas e previamente quebradas, tornando-a mais eficaz.

    Muitas vezes, as tabelas de arco-íris têm todas as senhas possíveis que as tornam extremamente enormes, ocupando centenas de GBs. Por outro lado, tornam o ataque real mais rápido porque a maioria dos dados já lá está e só é preciso compará-los com as palavras-passe de hash visadas. Felizmente, a maioria dos utilizadores pode proteger-se de tais ataques com grandes sais e estiramentos de chave, especialmente quando se utilizam ambos.

    Se o sal for suficientemente grande, digamos 128 bits, dois utilizadores com a mesma palavra-passe terão hashes únicos. Isto significa que a geração de tabelas para todos os sais demorará uma quantidade astronómica de tempo. Quanto ao alongamento da chave, aumenta o tempo de hashing e limita o número de tentativas que o atacante pode fazer em determinado tempo.

    Como criar uma senha forte?

    Não importa quão boa seja a sua memória ou o seu gestor de senha, não criar uma boa senha levará a consequências indesejáveis. Como discutimos neste artigo, as ferramentas de quebra de palavra-passe podem decifrar palavras-passe fracas em dias, se não em horas. É por isso que nos sentimos obrigados a lembrar algumas das principais dicas para a criação de uma senha forte:

    • Length. Como é frequente, o comprimento é o factor mais importante.
    • Combinar letras, números, e caracteres especiais. Isto aumenta muito o número de combinações possíveis.
    • Não reutilizar. Mesmo que a sua palavra-passe seja forte em teoria, a sua reutilização deixá-lo-á vulnerável.
    • Evite frases fáceis de adivinhar. Uma palavra que está no dicionário, na coleira do seu animal de estimação ou na sua matrícula é um grande NO.

    Se quiser saber mais sobre como criar boas palavras-passe, considere verificar o nosso artigo Como criar uma palavra-passe forte. Pode também experimentar o nosso gerador de senhas que o ajudará a criar senhas seguras.

    Criar senhas únicas

    Gerar senhas seguras que são completamente aleatórias e impossíveis de adivinhar.

    Is cracking password illegal?

    Não há uma resposta clara a isto. Para começar, todas as ferramentas de cracking de palavras-passe descritas acima são perfeitamente legais. Isto porque desempenham um papel fundamental na verificação de vulnerabilidades e podem também ajudar a recuperar uma palavra-passe perdida. Além disso, tais ferramentas ajudam as forças da lei a combater o crime. Assim, como é frequente, a quebra de palavra-passe pode ajudar a boa e a má causa.

    Como a quebra de palavra-passe é uma actividade, depende de dois factores. Primeiro, o hacker não tem a autoridade para aceder a esses dados em particular. Segundo, o objectivo é roubar, danificar, ou de outra forma utilizar indevidamente os dados. Mesmo que apenas um destes factores esteja presente, um hacker receberá muito provavelmente uma punição, que vai desde uma multa até à prisão de vários anos.

    Para resumir, se não houver recompensa pelo bug, nenhum acordo para fazer um teste de penetração, e nenhum pedido para ajudar a recuperar uma palavra-passe perdida, o cracking é ilegal.

    Bottom line

    O cracking da palavra-passe é mais fácil do que a maioria dos utilizadores pensa. Existem muitas ferramentas gratuitas e algumas delas são suficientemente fáceis mesmo para os crackers principiantes. Há também mais do que uma técnica de cracking de palavras-passe para tentar. Começando com um simples ataque de força bruta e passando a métodos sofisticados que combinam diferentes técnicas, o cracking de palavras-passe está a evoluir todos os dias.

    A melhor defesa contra o cracking de palavras-passe é a utilização de uma palavra-passe forte. A utilização de símbolos suficientes e caracteres diferentes garante que mesmo o computador mais rápido não rachará a sua conta nesta vida. E como é pouco provável que se lembre de múltiplas palavras-passe fortes, a melhor aposta é usar um gestor de palavras-passe fiável. A autenticação com dois factores continua a ser um problema para qualquer hacker, pelo que adicionar um dedo ou identificação facial manterá os seus dados seguros, pelo menos num futuro previsível.fcomm

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *