Do účtu se lze nabourat mnoha způsoby. Jedním z nich je prolomení hesla, které spočívá v použití různých výpočetních a jiných metod k prolomení kroku ověření hesla. V dnešní době lze najít i specializované nástroje na prolamování hesel, které nemusí sloužit pouze ke zlým účelům.
Abyste se nestali obětí prolomení hesla, můžete také využít nástroje pro správu a generování hesel. Ty šifrují hesla pomocí neprolomitelných šifer a pomáhají vytvářet prakticky neprolomitelná hesla za cenu, která je pro peněženku příznivá.
V tomto článku se však budeme zabývat 8 technikami prolamování hesel. Čtěte dále a zjistěte, co je to prolamování hesel a jak se provádí.
Co je to prolamování hesel?
Prolamování hesel znamená obnovení hesel z počítače nebo z dat, která počítač přenáší. Nemusí se jednat o sofistikovanou metodu. Útok hrubou silou, při kterém se ověřují všechny možné kombinace, je také prolamováním hesel.
Pokud je heslo uloženo jako prostý text, získá útočník po prolomení databáze všechny informace o účtu. V současné době je však většina hesel uložena pomocí funkce odvození klíče (KDF). Ta vezme heslo, prožene ho jednosměrnou šifrou a vytvoří takzvaný “hash”. Server ukládá hash-verzi hesla.
Nejlepší bezplatné zkušební verze VPN
Při použití grafického procesoru nebo botnetu je snadné zkoušet různá zaheslovaná hesla vysokou rychlostí. Proto většina hashovacích funkcí hesel používá algoritmy pro roztahování klíčů, které zvyšují prostředky (a tedy i čas) potřebné pro útok hrubou silou.
Některé metody prolomení hesla jsou výrazně obtížnější, pokud heslo používá solení nebo roztažení klíče. Bohužel stále existují služby, které na svých serverech ukládají nešifrovaná nebo slabě šifrovaná hesla.
Jak vytvořit silné heslo?
- Používejte dlouhé kombinace hesel složené z minimálně 8 symbolů.
- Zahrnout velká a malá písmena, číslice a symboly.
- Vyhněte se opakovanému používání hesel
- Pořiďte si bezpečného správce hesel a vytvořte si silná hesla.
8 nejlepších technik prolamování hesel používaných hackery
Hackeři samozřejmě chtějí použít co nejjednodušší dostupnou metodu prolomení hesla. Nejčastěji je touto metodou phishing, který je podrobně popsán níže. Dokud je člověk nejslabším článkem každého bezpečnostního systému, je nejlepší se na něj zaměřit. Pokud se to nepodaří, můžete vyzkoušet spoustu dalších technik prolomení hesla.
Nejlepší bezplatný antivirový software pro Mac
Hesla jsou sice velmi oblíbeným nástrojem zabezpečení účtu, ale nemusí být nutně tou nejbezpečnější možností. To platí zejména v případě, že uživatel vytvoří slabé heslo, opakovaně ho použije a uloží jeho kopii v prostém textu někde na internetu. Proto používání správce hesel, biometrických údajů (což má také své nevýhody) nebo přidání druhého faktoru učiní většinu níže uvedených metod prolomení zbytečnou.
Typický útok na prolomení hesla vypadá následovně:
- Získání hashů hesel
- Příprava hashů pro vybraný nástroj pro krakování
- Zvolte metodiku krakování
- Spusťte nástroj pro krakování
- Vyhodnocení výsledků
- V případě potřeby upravte útok
- Přejděte na krok 2
Nyní si probereme nejoblíbenější techniky prolamování hesel. Existuje mnoho případů, kdy se pro větší efekt kombinují dohromady.
1. Phishing
Phishing je nejoblíbenější technikou, která uživatele láká ke kliknutí na přílohu e-mailu nebo odkaz obsahující malware. Metody, jak toho dosáhnout, obvykle zahrnují zaslání nějakého důležitého a oficiálně vypadajícího e-mailu, který varuje před přijetím opatření dříve, než bude pozdě. Nakonec je automaticky nainstalován software pro extrakci hesla nebo uživatel zadá údaje o svém účtu na vzhledově podobné webové stránce.
Existují různé typy phishingu přizpůsobené konkrétní situaci, proto se podíváme na několik nejběžnějších:
- Spear phishing se zaměřuje na konkrétní osobu a před útokem se snaží získat co nejvíce osobních informací.
- Velrybaření se zaměřuje na vedoucí pracovníky a používá obsah specifický pro danou společnost, kterým může být stížnost zákazníka nebo dopis od akcionáře.
- Hlasový phishing zahrnuje falešnou zprávu od banky nebo jiné instituce, která uživatele žádá, aby zavolal na infolinku a zadal údaje o svém účtu.
2. Malware
Jak jste viděli, součástí techniky phishingu je často i malware. Může však fungovat i bez faktoru “sociálního inženýrství”, pokud je uživatel dostatečně naivní (obvykle je). Dva nejběžnější typy malwaru pro krádež hesel jsou keyloggery a screen scrapery. Jak jejich názvy napovídají, první z nich odesílá hackerovi všechny stisky kláves a druhý nahrává snímky obrazovky.
Ke krádeži hesel lze použít i jiné typy malwaru. Trojský kůň typu backdoor může uživateli poskytnout plný přístup k počítači, a to i při instalaci tzv. graywaru. Tyto programy, známé také jako potenciálně nežádoucí aplikace, se obvykle instalují po kliknutí na nesprávné tlačítko “Stáhnout” na některé webové stránce. Většina z nich zobrazuje reklamy nebo prodává údaje o používání webu, některé však mohou instalovat mnohem nebezpečnější software.
3. Sociální inženýrství
Tato technika prolomení hesla je založena na důvěřivosti a může, ale nemusí využívat sofistikovaný software nebo hardware – phishing je typem sociálního inženýrství.
Technologie způsobila revoluci v sociálním inženýrství. V roce 2019 se hackeři pomocí umělé inteligence a hlasové technologie vydávali za majitele firmy a oklamali jejího generálního ředitele, aby převedl 243 000 dolarů. Tento útok ukázal, že falešný hlas již není budoucností a imitace videa se stane běžnou záležitostí dříve, než si myslíte.
Útočník obvykle kontaktuje oběť v přestrojení za zástupce nějaké instituce a snaží se získat co nejvíce osobních údajů. Existuje také možnost, že když se bude vydávat za zástupce banky nebo společnosti Google, může hned získat heslo nebo údaje o kreditní kartě. Na rozdíl od ostatních technik může sociální inženýrství probíhat i offline, a to tak, že oběti zavolá nebo se s ní dokonce osobně setká.
4. Útok hrubou silou
Pokud vše ostatní selže, mají luštitelé hesel jako poslední možnost útok hrubou silou. Ten v podstatě zahrnuje zkoušení všech možných kombinací, dokud se netrefíte do černého. Nástroje pro prolamování hesel však umožňují tento útok modifikovat a výrazně zkrátit dobu potřebnou k ověření všech variant. Slabým článkem je zde opět uživatel a jeho zvyky.
Pokud se útočníkovi podařilo heslo vynutit hrubou silou, bude předpokládat, že heslo bylo použito opakovaně, a vyzkouší stejnou kombinaci přihlašovacích údajů v jiných online službách. Tento postup je známý jako credential stuffing a v době úniků dat je velmi populární.
5. Slovníkový útok
Slovníkový útok je typ útoku hrubou silou a často se používá společně s dalšími typy útoků hrubou silou. Automaticky kontroluje, zda heslo není nějaká často používaná fráze, například “iloveyou”, a to nahlédnutím do slovníku. Útočník může také přidat hesla z jiných uniklých účtů. V takovém případě se šance na úspěšný slovníkový útok výrazně zvyšuje.
Pokud by uživatelé volili silná hesla, která by neobsahovala pouze jedno slovo, takové útoky by se rychle změnily na jednoduchý útok hrubou silou. V případě, že používáte správce hesel, je nejlepší volbou generování náhodné sady symbolů. A pokud ho nepoužíváte, skvěle poslouží i dlouhá fráze složená alespoň z pěti slov. Jen ji nezapomeňte opakovaně používat pro každý účet.
6. Spidering
Spidering je doplňková technika prolamování hesel, která pomáhá při výše uvedených útocích hrubou silou a slovníkových útocích. Zahrnuje shromažďování informací o oběti, obvykle o společnosti, a předpokládá, že některé z těchto informací použije k vytvoření hesla. Cílem je vytvořit seznam slov, který by pomohl heslo rychleji uhodnout.
Po prověření webových stránek společnosti, sociálních médií a dalších zdrojů lze dojít k následujícímu závěru:
- Jméno zakladatele – Mark Zuckerberg
- Datum narození zakladatele – 1984 05 14
- Sestra zakladatele – Randi
- Druhá sestra zakladatele – Donna
- Název společnosti – Facebook
- Sídlo společnosti – Menlo Park
- Poslání společnosti – Dát lidem sílu budovat komunitu a sbližovat svět.
Teď už jen stačí nahrát jej do vhodného nástroje pro prolamování hesel a využít jeho výhod.
7. Hádání
Ačkoli hádání není zdaleka nejoblíbenější technikou prolamování hesel, souvisí s výše uvedenou technikou špionáže zaměřenou na podnikání. Někdy útočník ani nemusí shromažďovat informace o oběti, protože mu stačí vyzkoušet některé z nejoblíbenějších hesel. Pokud si vzpomínáte, že používáte jedno nebo více ubohých hesel z níže uvedeného seznamu, důrazně doporučujeme je nyní změnit.
Některá celosvětově nejčastěji používaná hesla:
- 123456
- 123456789
- qwerty
- heslo
- 12345
- qwerty123
- 1q2w3e
- 12345678
- 111111
- 1234567890
Přestože počet lidí, kteří používají jednoduchá nebo výchozí hesla jako “heslo”, “qwerty” nebo “123456”, klesá, mnozí stále milují jednoduché a zapamatovatelné fráze. Mezi ně často patří jména domácích mazlíčků, milenců, milovníků domácích mazlíčků, bývalých mazlíčků nebo něco, co souvisí s aktuální službou, například její název (malá písmena).
Jak odstranit virus z telefonu
8. Útok na duhový stůl
Jak bylo uvedeno výše, jednou z prvních věcí při prolamování hesla je získání hesla ve formě hashe. Poté vytvoříte tabulku běžných hesel a jejich hashovaných verzí a zkontrolujete, zda se heslo, které chcete prolomit, shoduje s některou položkou. Zkušení hackeři mají obvykle duhovou tabulku, která zahrnuje i uniklá a dříve prolomená hesla, což je efektivnější.
Duhové tabulky nejčastěji obsahují všechna možná hesla, takže jsou extrémně velké a zabírají stovky GB. Na druhou stranu urychlují samotný útok, protože většina dat je již k dispozici a stačí je pouze porovnat s cílovým hashem hesla. Naštěstí se většina uživatelů může před takovými útoky chránit pomocí velkých solí a roztahování klíčů, zejména při použití obojího.
Pokud je sůl dostatečně velká, například 128bitová, budou mít dva uživatelé se stejným heslem jedinečné hashe. To znamená, že generování tabulek pro všechny soli zabere astronomické množství času. Pokud jde o natahování klíče, prodlužuje se tím doba hašování a omezuje se počet pokusů, které může útočník v daném čase provést.
Nástroje pro prolamování hesel
Žádné prolamování hesel nezačíná bez vhodných nástrojů. Když musíte hádat z miliard kombinací, je pomoc výpočetní techniky více než vítaná. Jako vždy má každý nástroj své klady a zápory.
Zde je seznam nejoblíbenějších nástrojů pro prolamování hesel, a to bez udání pořadí.
1. John Rozparovač
John the Ripper je bezplatná aplikace s otevřeným zdrojovým kódem založená na příkazech, která je uváděna v mnoha populárních seznamech nástrojů pro prolamování hesel. Je k dispozici pro systémy Linux a macOS, zatímco uživatelé systémů Windows a Android získají sadu Hash Suite, kterou vyvinul jeden z přispěvatelů.
John the Ripper podporuje rozsáhlý seznam různých typů šifer a hashů. Některé z nich jsou:
- Hesla uživatelů systémů Unix, MacOS a Windows
- Webové aplikace
- Databázové servery
- Zachycení síťového provozu
- Šifrované soukromé klíče
- Disky a systémy souborů
- Archivy
- Dokumenty
K dispozici je také verze Pro s dalšími funkcemi a nativními balíčky pro podporované operační systémy. Seznamy slov používané při prolamování hesel jsou v prodeji, ale k dispozici jsou i bezplatné varianty.
2. Kain a Ábel
Cain & Abel je dalším oblíbeným nástrojem pro prolamování hesel, který byl z oficiálního zdroje stažen téměř 2 milionkrát. Na rozdíl od programu John the Ripper však používá grafické uživatelské rozhraní, takže je okamžitě uživatelsky přívětivější. To a skutečnost, že je k dispozici pouze pro systém Windows, činí z nástroje Cain & Abel nástroj pro amatéry, známé také jako script kiddies.
Nejlepší antivirový software pro Mac
Jedná se o víceúčelový nástroj s mnoha různými funkcemi. Cain & Abel může fungovat jako analyzátor paketů, zaznamenávat VoIP, analyzovat směrovací protokoly nebo vyhledávat bezdrátové sítě a získávat jejich adresy MAC. Pokud již máte hash, nabídne tento nástroj možnost slovníkového útoku nebo útoku hrubou silou. Cain & Abel umí také zobrazit hesla, která se skrývají pod hvězdičkami.
3. Ophcrack
Ophcrack je bezplatný nástroj s otevřeným zdrojovým kódem pro prolamování hesel, který se specializuje na útoky pomocí duhové tabulky. Přesněji řečeno, prolamuje hesla LM a NTLM, přičemž první z nich se týká systému Windows XP a starších operačních systémů a druhé se pojí se systémy Windows Vista a 7. NTLM je do jisté míry k dispozici také v systémech Linux a freeBSD. Oba tyto typy hashů jsou nezabezpečené – s rychlým počítačem je možné prolomit hash NTLM za méně než 3 hodiny.
Jak vidíte na obrázku výše, prolomení hesla s 8 symboly pomocí duhové tabulky, která obsahuje písmena, číslice a velká písmena, trvalo aplikaci Ophcrack pouhých šest sekund. To je dokonce více proměnných, než obvykle mají běžná hesla.
Tento nástroj je dodáván s bezplatnými duhovými tabulkami pro Windows XP/Vista/7 a funkcí útoku hrubou silou pro jednoduchá hesla. Ophcrack je k dispozici pro systémy Windows, MacOS a Linux.
4. THC Hydra
Nejsilnější stránkou THC Hydra pravděpodobně není možný počet hlav, které může pěstovat, ale samotný počet protokolů, které podporuje a které se zdají být také rostoucí! Jedná se o open-source nástroj pro prolamování hesel pro přihlašování do sítě, který pracuje například s Cisco AAA, FTP, HTTP-Proxy, IMAP, MySQL, Oracle SID, SMTP, SOCKS5, SSH a Telnet.
Metody dostupné v nástroji THC Hydra zahrnují útoky hrubou silou a slovníkové útoky a také použití seznamů slov vygenerovaných jinými nástroji. Tento nástroj pro prolamování hesel je známý svou rychlostí díky vícevláknovému testování kombinací. Dokáže dokonce provádět kontroly různých protokolů současně. THC Hydra je k dispozici pro systémy Windows, macOS a Linux.
5. Hashcat
Hashcat je bezplatný nástroj s otevřeným zdrojovým kódem, který je k dispozici pro systémy Windows, macOS a Linux a který se označuje za nejrychlejší nástroj pro prolamování hesel na světě. Nabízí řadu technik, od jednoduchého útoku hrubou silou až po hybridní masku se seznamem slov.
Jak nainstalovat síť VPN do směrovače
Hashcat dokáže využívat CPU i GPU, a to i současně. Díky tomu je luštění více hashů současně mnohem rychlejší. Co však dělá tento nástroj skutečně univerzálním, je počet podporovaných typů hashů. Hashcat dokáže dešifrovat MD5, SHA3-512, ChaCha20, PBKDF2, Kerberos 5, 1Password, LastPass, KeePass a mnoho dalších. Ve skutečnosti podporuje více než 300 typů hashů.
Než se však pustíte do prolamování, potřebujete nejprve získat hash hesla. Zde jsou některé z nejoblíbenějších nástrojů pro získání hashe:
- Mimikatz. Mimikatz je známá jako aplikace pro audit a obnovu hesel a lze ji použít i pro vyhledávání škodlivých hashů. Ve skutečnosti může stejně dobře získávat hesla v prostém textu nebo kódy PIN.
- Wireshark. Wireshark umožňuje provádět sniffing paketů. Jedná se o oceňovaný analyzátor paketů, který používají nejen hackeři, ale také obchodní a vládní instituce.
- Metasploit. Jedná se o populární framework pro penetrační testování. Metasploit je určen pro bezpečnostní profesionály, ale hackeři jej mohou používat i k získávání hashů hesel.
Jak vytvořit silné heslo?
Bez ohledu na to, jak dobrou máte paměť nebo správce hesel, nevytvoření správného hesla povede k nežádoucím důsledkům. Jak jsme uvedli v tomto článku, nástroje pro prolamování hesel dokáží slabá hesla rozluštit během několika dnů, ne-li hodin. Proto cítíme povinnost připomenout některé klíčové tipy pro vymýšlení silného hesla:
- Délka. Jak už to tak bývá, délka je nejdůležitějším faktorem.
- Kombinujte písmena, číslice a speciální znaky. Tím se výrazně zvýší počet možných kombinací.
- Nepoužívejte je opakovaně. I když je vaše heslo teoreticky silné, jeho opakované použití vás učiní zranitelnými.
- Vyhněte se snadno odhadnutelným frázím. Slovo, které je ve slovníku, na obojku vašeho domácího mazlíčka nebo na poznávací značce, je velké NE.
Pokud se chcete dozvědět více o vytváření dobrých hesel, přečtěte si náš článek Jak vytvořit silné heslo. Můžete také vyzkoušet náš generátor hesel, který vám pomůže vymyslet bezpečná hesla.
Pokud se necítíte dostatečně jistí při vytváření více silných hesel, pořízení správce hesel, jako je NordPass, vám umožní se o to již nikdy nestarat. NordPass generuje neotřesitelná hesla a používá šifrování vojenské úrovně!
Je prolamování hesel nezákonné?
Na tuto otázku neexistuje jednoznačná odpověď. Za prvé, všechny výše popsané nástroje pro prolamování hesel jsou zcela legální. To proto, že hrají klíčovou roli při kontrole zranitelností a mohou také pomoci obnovit ztracené heslo. Navíc tyto nástroje pomáhají orgánům činným v trestním řízení v boji proti trestné činnosti. Jak už to tedy bývá, prolamování hesel může pomoci dobré i špatné věci.
Pokud jde o prolamování hesel jako činnost, závisí to na dvou faktorech. Zaprvé, hacker nemá oprávnění k přístupu k daným údajům. Za druhé, cílem je data ukrást, poškodit nebo jinak zneužít. I když je přítomen pouze jeden z těchto faktorů, hacker s největší pravděpodobností obdrží trest, a to od pokuty až po mnohaleté odnětí svobody.
Shrnuto a podtrženo, pokud neexistuje odměna za chybu, dohoda o penetračním testování ani žádost o pomoc při obnově ztraceného hesla, je prolomení nelegální.
Podtrženo, sečteno
Prolomení hesla je snazší, než si většina uživatelů myslí. Existuje spousta bezplatných nástrojů a některé z nich jsou dostatečně snadné i pro začínající luštitele. Existuje také více než jedna technika prolamování hesel, kterou můžete vyzkoušet. Počínaje jednoduchým útokem hrubou silou a konče sofistikovanými metodami, které kombinují různé techniky, se prolamování hesel vyvíjí každým dnem.
Nejlepší obranou proti prolomení hesla je použití silného hesla. Použití dostatečného množství symbolů a různých znaků zajistí, že ani ten nejrychlejší počítač neprolomí váš účet v tomto životě. A protože zapamatovat si více silných hesel je nepravděpodobné, nejlepší je použít spolehlivého správce hesel. Dvoufaktorové ověřování je stále trnem v oku každému hackerovi, takže přidání identifikace pomocí prstu nebo obličeje zajistí bezpečnost vašich dat, alespoň v dohledné budoucnosti.