字體:小 中 大 | |
|
|
2023/09/12 08:53:52瀏覽16|回應0|推薦0 | |
駭客line方法駭客line方法hack line方法line hack下載line帳戶駭客,line暴力破解,line駭客,破解line密碼ptt 離線密碼破解:攻擊和最佳防禦 介紹 離線駭客line方法 在這個由兩部分組成的系列的第 1 部分中,我解釋了什麽是在線密碼破解以及如何防禦它。
在(期待已久的)第二部分中,我將描述: 離線密碼破解 在線和離線密碼破解之間的主要區別 還有我最喜歡的離線密碼破解工具hashcat 什麽是「駭客line方法密碼破解」? 離線密碼破解是一種嘗試從目標系統恢復的密碼存儲文件中恢復一個或多個密碼。通常,這將是Windows 上的安全帳戶管理器 (SAM)文件或Linux 上的/etc/shadow文件。在大多數情況下,離線密碼破解需要攻擊者已經獲得系統的管理員/根級別權限才能訪問存儲機製。然而,密碼散列也可能是使用 SQL 註入、Web 服務器上未受保護的純文本文件或其他一些保護不力的源直接從數據庫中提取的。
我們可以為你破解各類社交密碼,如line密碼,line監控,line監聽,instagram密碼破解,facebook密碼破解,手機定位,手機監控,電郵密碼破解如有需要, 請直接聯絡line:hack2900
電郵:hack2900@hotmail.com 使用在線密碼破解,攻擊者無需預先訪問系統。攻擊者使用向合法用戶提供的界面或服務(例如登錄網頁或 SSH 或 FTP 服務器)來嘗試猜測用戶帳戶名和密碼。但在線密碼破解比離線密碼破解要慢很多;離線密碼破解比在線破解快 1000 – 1,000,000 倍。在線密碼破解也更加嘈雜,每次嘗試可能會在日誌文件中留下一個條目。破解line密碼一旦憑證存儲機製被恢復,離線密碼破解就不會在受害者的系統上留下任何其他痕跡。 離線密碼破解方法 離線密碼破解與在線密碼破解一樣,可以使用多種方法來猜測密碼。暴力攻擊使用由給定字符集組成的所有可能的密碼組合,最多可達給定的密碼大小。例如,暴力攻擊可能會嘗試破解由所有 95 個可打印 ASCII 字符組成的八字符密碼。這意味著將有 95 ^ 8 種可能的組合 (95x95x95x95x95x95x95x95),或 6,634,204,312,890,625 (6.6 萬億) 個密碼。假設每秒猜測 100 萬次,則通過暴力攻擊破解 8 個字符的密碼大約需要 210 年。 了解密碼模式的攻擊者可以使用掩碼攻擊。掩碼攻擊通過猜測或使用有關密碼格式的知識來減少暴力方法的組合數量。例如,如果攻擊者知道或假設密碼模式是: 密碼長度為八個字符 第一個字符是大寫 接下來的五個字符是小寫的 下一個字符是數字 下一個字符是一個符號 可能的組合數量為:26 x 26 x 26 x 26 x 26 x 26 x 10 x 34 或 105,031,363,840 種組合。以每秒 1,000,000 個組合的速度計算,使用掩碼攻擊破解該密碼最多需要 1.2 天。將此與 210 年使用暴力攻擊破解相同密碼進行比較,破解line密碼其中不對密碼做出任何假設。 字典攻擊允許攻擊者使用常見、眾所周知的密碼列表,並針對該列表中的每個單詞測試給定的密碼哈希。列表中的每個單詞都經過哈希處理(如果有的話,則使用要破解的密碼哈希值中的鹽)並與哈希值進行比較。如果匹配,則列表中的單詞要麽是原始密碼,要麽是可以產生相同散列的另一個密碼(這在數學上是非常不可能的)。CrackStation網站有一個可下載的字典,其中包含 15 億個密碼,這些密碼取自著名的泄露事件,以及維基百科網站、古騰堡計劃和其他列表中的每個單詞。這是我在滲透測試中通常使用的列表。 還有其他類型的攻擊,例如基於規則的攻擊,它可以對要猜測的密碼進行排列,以及混合攻擊,它將有限的暴力攻擊與字典攻擊(例如附加所有四位數與字典中所有單詞的組合)。 通過在線密碼破解攻擊,解決方案非常簡單。允許用戶在 Y 期間嘗試登錄 X 次,然後將其帳戶鎖定 Z 分鐘/小時(或直到管理員將其解鎖)。許多 Web 開發框架都能夠在配置文件中指定這些規則。帳戶鎖定幾乎毀了在線密碼黑客的日子。 但是,一旦捕獲了密碼哈希文件,如何阻止離線密碼黑客呢?那時你無法鎖定攻擊者。最好的解決方案是減慢攻擊者的速度,這樣離線破解密碼的成本就高得令人望而卻步。個人用戶不會註意到他們的登錄嘗試比以前多花 100 毫秒才能返回……但密碼破解攻擊者肯定會註意到! 兩個密碼哈希的故事 為了說明這一點,讓我們為一個虛構的 Web 應用程序選擇一個密碼。破解line密碼假設密碼經過哈希處理並以平面文件的形式存儲在磁盤上,並且攻擊者以某種方式設法獲取該文件。我們將比較兩種哈希算法:SHA1(無鹽)和 Django 基於密碼的密鑰派生函數 2 (PBKDF2),使用加鹽密碼和 SHA256 哈希算法的 20,000 次叠代。 作為一個簡短的旁註:密碼加鹽是對彩虹表攻擊的防禦,它對給定字符集和大小的所有密碼使用預先計算的哈希值字典。彩虹表攻擊可以通過在對密碼進行哈希處理之前添加到密碼中的鹽或隨機數據來防止(該數據通常與密碼一起存儲,因為在對要比較的密碼進行哈希處理時需要它)。彩虹表攻擊者必須為每個鹽值(通常為 32 位或更多)擁有一個彩虹表,並且每個彩虹表的大小甚至可以是多個 TB,即使是很小的密碼(例如七個字符)。加鹽有效地阻止了彩虹表攻擊,但對 GPU 驅動的離線密碼破解攻擊沒有任何作用,因為哈希值是動態生成的,添加了鹽。 對於我們的密碼,根據我們通常生活在企業界的拜占庭密碼生成規則,讓我們選擇一個看起來非常安全的密碼:051206/jonathan06。使用暴力攻擊無法破解該密碼。然而,該密碼已從RockYou! 中恢復!違反了,因此,它出現在Kali 自帶的1400 萬密碼rockyou.txt密碼字典中,我們將使用它來進行本次測試。 當我們使用 SHA1 對密碼進行哈希處理時,我們得到: e88d9d595c0da845e31a421f025ffa047a888c98。 當我們使用 PBKDF2-SHA256(20,000 次叠代)對密碼進行哈希處理時,我們得到: pbkdf2_sha256$20000$3hG9tCawVQRv$YQmMzntbh73QYD+UdEPi4tYpT9LXZciDuNrs01rwc1E= 您可能會註意到,第二個密碼在哈希中內置了一些元數據,每個字段均由$符號分隔。哈希值本身告訴我們,它使用 PBKDF2 算法,以 SHA256 為基礎,叠代 20,000 次,鹽值為「3hG9tCawVQRv 」。 最後,最後一個美元符號之後的部分是二進製哈希本身的 Base64 編碼版本(未編碼的 64 個字符,32 字節或 256 位長)。 我們可以使用我最喜歡的密碼破解程序hashcat來利用圖形處理單元 (GPU) 加速來破解這些密碼。 hashcat可以利用顯卡的強大功能,破解line密碼就像加密貨幣挖礦一樣,極大地並行化密碼破解。 hashcat對不同的哈希類型使用數字代碼。 以下是hashcat可以破解的哈希列表,以及它們應該是什麽樣子的示例。當嘗試調試有關錯誤哈希長度的錯誤消息時,這些示例可能會很有幫助。
我們可以為你破解各類社交密碼,如line密碼,line監控,line監聽,instagram密碼破解,facebook密碼破解,手機定位,手機監控,電郵密碼破解如有需要, 請直接聯絡line:hack2900
電郵:hack2900@hotmail.com 要破解 SHA1 哈希,我們使用以下命令行: ./hashcat64.bin -m 100 -a 0 超級安全密碼.hash ~/rockyou/rockyou.txt 如何使用哈希貓 那麽配備Nvidia GTX 1060(遊戲級)GPU的筆記本電腦需要多長時間才能使用 1400 萬字詞典破解「超級安全」密碼?比提出問題所需的時間還要少! 破解line密碼 GPU SHA1 哈希破解 正如我們在上面的屏幕截圖中看到的,對於 SHA1 哈希,在 1400 萬個密碼列表中找到密碼只花了不到一秒鐘! 現在,我們將使用以下命令行對 PBKDF2 SHA256 Django 破解line密碼哈希運行相同的攻擊: ./hashcat64.bin -m 10000 -a 0 django_sha256.hash ~/rockyou/rockyou.txt 破解PBKDF2 破解line密碼 正如我們從上面的屏幕截圖中看到的,破解該密碼需要相當長的時間(超過 1000 倍)。我們每秒可以破解 3100 萬個 SHA1 哈希值,但每秒只能破解 27000 個 Django 哈希值。現在,這對這個可憐的家夥沒有多大幫助。 他的密碼因一個以明文形式存儲用戶密碼的系統存在十年之久的 SQL 註入漏洞而遭到泄露。 補救措施 在這兩種情況下,我們的「安全」密碼在幾分鐘內就可以在遊戲玩家級筆記本電腦上輕松破解。那麽我們怎樣才能選擇真正安全的密碼呢?傳統的智慧一直是選擇至少八個字符的密碼,其中包含大寫字母、小寫字母、數字和符號,並且政策通常強製執行這些規則。新指南現在建議至少 8 個字符,並且系統允許最大字符數密碼長度不少於64個字符。幾乎保證用戶會重復使用密碼或將密碼寫在便簽上的復雜規則也消失了!最好是來自歌曲、詩歌、小說的令人難忘的短語,或者只是一個容易記住的句子。NIST 還建議在選擇密碼時進行密碼篩選,以防止使用常用密碼。 破解line密碼正如我在第 1 部分中提到的,登錄名和密碼憑據本身相當不安全。強烈建議使用多重身份驗證。如果密碼被泄露,攻擊者還需要第二個因素才能登錄。 對於應用程序開發人員來說,切勿以明文形式存儲密碼或使用弱哈希算法(例如 MD5 或 SHA1)。使用具有強哈希功能的PBKDF2格式,例如 SHA256 或 SHA512,以及數千次叠代。或者,使用bcrypt或scrypt,它們旨在減慢密碼檢查過程。 CrackStation.net 在安全存儲和檢查密碼方面提供了一些出色的指導。 休厄爾博士位於中國丹東,與朝鮮新義州隔鴨綠江相望 作者簡介 Daniel 「Doc」 Sewell 是 Alpine Security 的首席網絡安全工程師和培訓師。破解line密碼他目前持有多項安全相關認證,包括 EC-Council 認證安全分析師 (ECSA)、授權滲透測試師(碩士)、攻擊性安全認證專家 (OSCP)、信息系統安全認證專家 (CISSP) 和安全軟件生命周期認證專家 (CISSP)。 CSSLP)。Doc 在軟件開發方面擁有多年經驗,致力於 Web 界面、數據庫應用程序、胖客戶端 GUI、戰場模擬軟件、自動飛機調度系統、嵌入式系統以及多線程 CPU 和 GPU 應用程序。Doc 的網絡安全經驗包括滲透測試戰鬥機嵌入式系統、滲透測試醫療實驗室設備、創建網絡釣魚電子郵件和虛假網站以進行社會工程活動,並向洛克希德馬丁公司和香港警察局等世界知名組織教授安全課程。Doc 的愛好和興趣包括家庭網絡、操作系統、電腦遊戲、閱讀、看電影和旅行。 |
|
( 創作|文學賞析 ) |