Password cracking

Dictionary attacks

Lijst 1

Naast de brute-force attacks gaan we nu eens kijken naar dictionary attacks. We gaan nu een hash of een lijst van hashes proberen kraken aan de hand van een woordenlijst. Deze woordenlijsten bestaan uit veelgebruikte passwoorden of zelfs passwoorden van gehackte databasses (LinkedIn-breach). Op internet zijn er veel woordenlijsten te vinden die gebruikt kunnen worden om een dictionary attack uit te voeren. Uiteraard is het ook mogelijk om je eigen woordenlijst op te stellen.

Hashcat zal de passwoorden uit de woordenlijst 1 voor 1 gaan hashes en vergelijken met de te kraken hash of lijst van hashes.

  • Voor deze oefening zullen we gebruik maken van de Rockyou-woordenlijst

Bekijk zeker de passwoorden eens in deze lijst

  • We zullen nu de volgende lijst van MD5 hashes proberen kraken

targethashes

  • Analoog met de bruteforce kan je nu de juiste opties zoeken om deze aanval uit te voeren

Bekijk zeker eens de output van hashcat wanneer het bezig is met het kraken van de hashes
Op deze website vind je een enorm aantal lijsten met een verschillend aantal passwoorden. Het is dus belangrijk om een veilig passwoord te kiezen aangezien er op internet al heel wat lijsten circuleren waarin je passwoord wel eens zou kunnen voorkomen

Lijst 2

Uit een opdracht rond social engineering zouden jullie nu in het bezit moeten zijn van een lijst van hashes van Diane haar andere passwoorden. Ondanks het feit dat het niet echt slim is om je passwoorden zomaar ergens te noteren en bij te houden (of online ergens op te slaan), was ze wel slim genoeg om de passwoorden niet in cleartext op te slaan maar ze te hashen. Alleen weten we op dit moment niet welk soort hash ze gebruikt heeft. Aangezien het wachtwoord van de zip file niet heel complex was, zijn de andere passwoorden waarschijnlijk ook niet complex en zouden ze wel eens gevonden kunnen worden in de dictionary uit de vorige opgave.

  • Via deze online tool kan je het type hash proberen achterhalen.

  • Analoog met de opgave hierboven kan je de passwoorden van Diane proberen kraken met hashcat.

Aangezien heel wat passwoorden en hashes al hele tijd op internet circuleren en er steeds meer en meer bijkomen, zal het jullie niet verwonderen dat er ook ondertussen online tools ter beschikking zijn die de meest voorkomende hashes herkennen en kunnen kraken. Omdat de rockyou library één van de meest bekende is, zou het dus wel eens kunnen dat jullie op internet een site/tool kunnen vinden die de hashes sneller zal kraken dan hashcat.