مشاهده نسخه کامل
: hamid_mcse
13-07-2005, 00:12
موضوع : کرک کلمه عبور (Password) در هم آمیخته (hash) فقط در یک ثانیه !!
اول یکم مقدمات تا بریم سر اصل قضیه ؛ حتما میدانید که برنامه های کرک کلمه عبور همچون LC5 و John Riper چگونه کار میکنند ، خوب اگر نمی دانید من یک کوچولو توضیح میدهم ، این برنامه ها با توجه به متغیر های که شما تعریف میکنید مثل تعداد کاراکتر ها ، نوع آنها ، حروف کوچک و بزرگ ، علائم و نشانه ها و ... شروع به تولید کلمات عبور کرده و آنها را با الگوریتم رمزنگاری مورد نظر به حالت رمز (hash) در آورده و آنگه آن را با کلمه رمز واقعی مقایسه میکند اگر جواب درست بود کلمه ای را که به حالت رمز در آورده به شما نمایش میدهد به عنوان کلمه رمز !! و اگر نبود آنقدر این کار را تکرار میکند تا کلمه عبور را کشف کند !!!!
یکی از معایب این روش زمان بر بودن است که معمولا وقتی شما در یک شبکه مهم نفوذ میکنید و به نوعی کلمه عبور را به دست می آورید ( در حالت hash ) شروع به Decrypt کردن آن میکنید تا کلمه عبور را کشف نماید . خوب بعد کشف که معمولا هم بالای 10 الی 12 ساعت طول میکشد میروید سر وقت سوژه مورد نظر اما هرچه قدر کلمه را وارد میکنید جواب نمیدهد !! خوب درست فهمیدید این جا یک مکان خفن است و هر 10 الی 12 روز کلمه عبور عوض میشود !! برای رفع این معضل چه کار میکنید ؟ آیا میروید دنبال یک سیستم قوی تر ؟ یا .... ج : بقیه مطلب را بخوانید !!
بالا اشاره کردم که چگونه کار کرک کلمه عبور انجام میشود ، خوب اگر ما روش کار را برعکس کنیم چطور ؟ درست فهمیدید ، اگر ما بر داریم با تمام کاراکتر های موجود که کمتر از 40 تا هم است N تعداد کلمه بسازیم (تمام " جایگشتهای " موجود را)که طول هر کدام از 6 کاراکتری شروع شود تا 36 کاراکتری ما تعداد معلومی کلمه خواهیم داشت از کلمات با مفهوم تا بی مفهوم آنگاه همه را بر داریم و با الگوریتم های مختلف رمزنگاری رمز کرده و کلمه رمز بدست آمده (hsah) را در یک جای ذخیره میکنیم و برای آن یک شماره قرار داده که آن شماره برابر با معادل کلمه عبور باشد . حال هر گاه بخواهیم معادل یک کلمه عبور در هم آمیخته را پیدا کنیم فقط کار در عرض چند صدم ثانیه طول میکشد . زیرا شما هم کلمه عبور را دارید هم معادل درهم آمیخته آن را و فقط کار به یک جستجوی ساده ختم میشود.
خوب تا اینجا همش تشریح تکنیک کار بود اما برای عمل مسلما شما نه 100 گیگابایت خالی روی هاردتان فضا دارید نه سیستمی و برنامه ای که این همه کلمه را برای شما بسازید (البته هر دو را میشود تهیه کرد اما ... ) !!
برای رفع این مشکل من به شما پیشنهاد میکنم به سایت securitystats.com مراجعه کنید در این سایت برای شما انواع کلمات عبور که تحت الگوریتم های از قبیل :
MD4 , MD5 , NT , SHA1 , LANMAN , GOST , HAVAL256 , HAVAL224 , HAVAL192 , HAVAL160 , HAVAL128 , RIPEMD 160 , TIGER , TIGER160 , TIGER128 , RCR32B , RCR32 .
را در مدت چند ثانیه آشکار سازی میکند.
خوب البته این سایت امکانات دیگری همچون :
Cisco Password 7 Decryptor
Online Password Hash Calculator
HTTP Basic Authentication (------) Cracker
Searchable TCP/UDP/IP Protocol and Port List, including all Known Trojans
را در اختیار شما قرار میدهد .
منبع:iritn.com
اول یکم مقدمات تا بریم سر اصل قضیه ؛ حتما میدانید که برنامه های کرک کلمه عبور همچون LC5 و John Riper چگونه کار میکنند ، خوب اگر نمی دانید من یک کوچولو توضیح میدهم ، این برنامه ها با توجه به متغیر های که شما تعریف میکنید مثل تعداد کاراکتر ها ، نوع آنها ، حروف کوچک و بزرگ ، علائم و نشانه ها و ... شروع به تولید کلمات عبور کرده و آنها را با الگوریتم رمزنگاری مورد نظر به حالت رمز (hash) در آورده و آنگه آن را با کلمه رمز واقعی مقایسه میکند اگر جواب درست بود کلمه ای را که به حالت رمز در آورده به شما نمایش میدهد به عنوان کلمه رمز !! و اگر نبود آنقدر این کار را تکرار میکند تا کلمه عبور را کشف کند !!!!
یکی از معایب این روش زمان بر بودن است که معمولا وقتی شما در یک شبکه مهم نفوذ میکنید و به نوعی کلمه عبور را به دست می آورید ( در حالت hash ) شروع به Decrypt کردن آن میکنید تا کلمه عبور را کشف نماید . خوب بعد کشف که معمولا هم بالای 10 الی 12 ساعت طول میکشد میروید سر وقت سوژه مورد نظر اما هرچه قدر کلمه را وارد میکنید جواب نمیدهد !! خوب درست فهمیدید این جا یک مکان خفن است و هر 10 الی 12 روز کلمه عبور عوض میشود !! برای رفع این معضل چه کار میکنید ؟ آیا میروید دنبال یک سیستم قوی تر ؟ یا .... ج : بقیه مطلب را بخوانید !!
بالا اشاره کردم که چگونه کار کرک کلمه عبور انجام میشود ، خوب اگر ما روش کار را برعکس کنیم چطور ؟ درست فهمیدید ، اگر ما بر داریم با تمام کاراکتر های موجود که کمتر از 40 تا هم است N تعداد کلمه بسازیم (تمام " جایگشتهای " موجود را)که طول هر کدام از 6 کاراکتری شروع شود تا 36 کاراکتری ما تعداد معلومی کلمه خواهیم داشت از کلمات با مفهوم تا بی مفهوم آنگاه همه را بر داریم و با الگوریتم های مختلف رمزنگاری رمز کرده و کلمه رمز بدست آمده (hsah) را در یک جای ذخیره میکنیم و برای آن یک شماره قرار داده که آن شماره برابر با معادل کلمه عبور باشد . حال هر گاه بخواهیم معادل یک کلمه عبور در هم آمیخته را پیدا کنیم فقط کار در عرض چند صدم ثانیه طول میکشد . زیرا شما هم کلمه عبور را دارید هم معادل درهم آمیخته آن را و فقط کار به یک جستجوی ساده ختم میشود.
خوب تا اینجا همش تشریح تکنیک کار بود اما برای عمل مسلما شما نه 100 گیگابایت خالی روی هاردتان فضا دارید نه سیستمی و برنامه ای که این همه کلمه را برای شما بسازید (البته هر دو را میشود تهیه کرد اما ... ) !!
برای رفع این مشکل من به شما پیشنهاد میکنم به سایت securitystats.com مراجعه کنید در این سایت برای شما انواع کلمات عبور که تحت الگوریتم های از قبیل :
MD4 , MD5 , NT , SHA1 , LANMAN , GOST , HAVAL256 , HAVAL224 , HAVAL192 , HAVAL160 , HAVAL128 , RIPEMD 160 , TIGER , TIGER160 , TIGER128 , RCR32B , RCR32 .
را در مدت چند ثانیه آشکار سازی میکند.
خوب البته این سایت امکانات دیگری همچون :
Cisco Password 7 Decryptor
Online Password Hash Calculator
HTTP Basic Authentication (------) Cracker
Searchable TCP/UDP/IP Protocol and Port List, including all Known Trojans
را در اختیار شما قرار میدهد .
منبع:iritn.com