Selasa, 12 April 2011

PASSWORD CRACKING

PASSWORD CRACKING
Pernah dengar istilah password cracking..???apa sih password cracking itu…???
Nah pada kesempatan kali ini saya akan coba untuk mengupas tentang apa sih yang di maksud password cracking itu……
Password cracking adalah proses pemulihan password dari data yang telah disimpan di dalam atau dikirim oleh sistem komputer . A common approach is to repeatedly try guesses for the password. Pendekatan yang umum adalah untuk berulang kali mencoba tebakan untuk memasukkan sandi. Tujuan password cracking mungkin untuk membantu pengguna kembali password yang terlupakan (meskipun memasang password yang sama sekali baru kurang dari risiko keamanan, tetapi melibatkan sistem hak administrasi), untuk mendapatkan akses tidak sah ke sistem, atau sebagai langkah preventif dengan administrator sistem untuk memeriksa password crackable mudah. On a file-by-file basis, password cracking is utilized to gain access to digital evidence for which a judge has allowed access but the particular file's access is restricted. Secara file-by-file, password cracking digunakan untuk mendapatkan akses ke bukti digital yang hakim telah memungkinkan akses tapi akses file tertentu adalah dibatasi.
Waktu untuk crack password yang berhubungan dengan kekuatan sedikit (lihat kekuatan password ), yang merupakan fungsi dari Teman informasi entropi password. Most methods of password cracking require the computer to produce many candidate passwords, each of which is checked. Sebagian besar metode password cracking memerlukan komputer untuk menghasilkan banyak calon password, yang masing-masing diperiksa. Brute force cracking, in which a computer tries every possible key or password until it succeeds, is the lowest common denominator of password cracking. Brute force cracking, dimana komputer mencoba setiap kunci yang mungkin atau password sampai berhasil, adalah common denominator terendah password cracking. More common methods of password cracking, such as dictionary attacks, pattern checking, word list substitution, etc., attempt to reduce the number of trials required and will usually be attempted before brute force. metode yang lebih umum dari password cracking, seperti serangan kamus, memeriksa pola, substitusi daftar kata, dll, upaya untuk mengurangi jumlah percobaan yang diperlukan dan biasanya akan dilakukan sebelum kekerasan.
The ability to crack passwords using computer programs is a function of the number of possible passwords per second which can be checked. Kemampuan untuk crack password menggunakan program komputer merupakan fungsi dari jumlah password yang mungkin per detik yang dapat diperiksa. If a hash of the target password is available to the attacker, this number can be quite large. Jika hash dari password target tersedia untuk penyerang, jumlah ini bisa sangat besar. If not, the rate depends on whether the authentication software limits how often a password can be tried, either by time delays, CAPTCHAs , or forced lockouts after some number of failed attempts. Jika tidak, tarif tergantung pada apakah perangkat lunak otentikasi batas seberapa sering sandi bisa dicoba, baik oleh penundaan waktu, CAPTCHA , atau terpaksa lockouts setelah beberapa jumlah usaha yang gagal.
Individual desktop computers can test anywhere between one million to fifteen million passwords per second against a password hash for weaker algorithms, such as DES or LanManager. Masing-masing komputer desktop dapat menguji di manapun di antara 1000000-15000000 password per detik terhadap hash password untuk algoritma yang lebih lemah, seperti DES atau LanManager. See: John the Ripper benchmarks A user-selected eight-character password with numbers, mixed case, and symbols, reaches an estimated 30-bit strength, according to NIST. Lihat: John the Ripper benchmark A-karakter sandi dipilih delapan pengguna dengan nomor, kasus campuran, dan simbol, mencapai kadar 30-bit perkiraan, menurut NIST. 2 30 is only one billion permutations and would take an average of 16 minutes to crack. [ 1 ] When ordinary desktop computers are combined in a cracking effort, as can be done with botnets , the capabilities of password cracking are considerably extended. 2 30 hanya satu miliar permutasi dan akan mengambil rata-rata 16 menit untuk crack. [1] Ketika komputer desktop biasa digabungkan dalam usaha retak, seperti yang dapat dilakukan dengan botnet , kemampuan password cracking yang cukup diperpanjang. In 2002, distributed.net successfully found a 64-bit RC5 key in four years, in an effort which included over 300,000 different computers at various times, and which generated an average of over 12 billion keys per second. [ 2 ] Graphics processors can speed up password cracking by a factor of 50 to 100 over general purpose computers. Pada tahun 2002, distributed.net berhasil menemukan 64-bit RC5 kunci dalam empat tahun, dalam upaya yang mencakup lebih dari 300.000 komputer yang berbeda pada berbagai waktu, dan yang menghasilkan rata-rata lebih dari 12 milyar kunci per detik. [2] Graphics prosesor dapat mempercepat password cracking dengan faktor 50 sampai 100 lebih dari komputer tujuan umum. As of 2011, commercial products are available that claim the ability to test up to 2,800,000,000 passwords a second on a standard desktop computer using a high-end graphics processor. [ 3 ] Such a device can crack a 10 letter single-case password in one day. Pada 2011, produk komersial yang tersedia yang mengklaim kemampuan untuk menguji sampai 2800000000 password yang kedua pada komputer desktop standar menggunakan-end prosesor grafis yang tinggi. [3] seperti perangkat bisa memecahkan satu huruf kasus sandi 10 dalam satu hari. Note that the work can be distributed over many computers for an additional speedup proportional to the number of available computers with comparable GPUs. Perhatikan bahwa pekerjaan dapat didistribusikan ke banyak komputer untuk speedup tambahan sebanding dengan jumlah komputer yang tersedia dengan GPU sebanding.
If a cryptographic salt is not used in the password system, the attacker can pre-compute hash values for common passwords variants and for all passwords shorter than a certain length, allowing very rapid recovery. Jika garam kriptografi tidak digunakan dalam sistem password, penyerang dapat pre-menghitung nilai hash untuk umum dan varian password untuk semua password yang lebih pendek dari panjang tertentu, yang memungkinkan pemulihan yang sangat cepat. Long lists of pre-computed password hashes can be efficiently stored rainbow tables . daftar panjang dihitung password hash-pra dapat secara efisien disimpan tabel pelangi . Such tables are available on the Internet for several common password authentication systems. tabel tersebut tersedia di Internet untuk beberapa sistem otentikasi password umum.
Another situation where quick guessing is possible is when the password is used to form a cryptographic key . Lain situasi di mana cepat menebak adalah mungkin adalah ketika password digunakan untuk membentuk sebuah kunci kriptografi . In such cases, an attacker can quickly check to see if a guessed password successfully decodes encrypted data. Dalam kasus seperti ini, penyerang dapat dengan cepat memeriksa untuk melihat apakah password menebak berhasil decode data dienkripsi. For example, one commercial product claims to test 103,000 WPA PSK passwords per second. [ 4 ] Misalnya, salah satu produk komersial klaim untuk menguji 103.000 WPA PSK password per detik. [4]
Despite their capabilities, desktop CPUs are slower at cracking passwords than purpose-built password breaking machines. Meskipun kemampuan mereka, CPU desktop lebih lambat pada cracking password selain mesin sandi yang dibuat untuk tujuan melanggar. In 1998, the Electronic Frontier Foundation (EFF) built a dedicated password cracker using FPGAs , as opposed to general purpose CPUs. Pada tahun 1998, Electronic Frontier Foundation (EFF) membangun sebuah password cracker yang berdedikasi menggunakan FPGA , sebagai lawan CPU tujuan umum. Their machine, Deep Crack , broke a DES 56-bit key in 56 hours, testing over 90 billion keys per second. [ 5 ] In 2010, the Georgia Tech Research Institute developed a method of using GPGPU to crack passwords, coming up with a minimum secure password length of 12 characters. [ 6 ] [ 7 ] [ 8 ] mesin mereka, Deep Crack , memecahkan 56-bit kunci DES dalam 56 jam, pengujian lebih dari 90 milyar kunci per detik. [5] Pada tahun 2010, Georgia Tech Research Institute mengembangkan metode yang menggunakan GPGPU untuk crack password, datang dengan panjang minimum password yang aman dari 12 karakter. [6] [7] [8]
Perhaps the fastest way to crack passwords is through the use of pre-computed rainbow tables . Mungkin cara tercepat untuk crack password adalah melalui penggunaan pra-dihitung tabel pelangi . These encode the hashes of common passwords based on the most widely used hash functions and can crack passwords in a matter of seconds. Ini menyandikan hash dari password yang umum yang didasarkan pada fungsi hash yang paling banyak digunakan dan dapat crack password dalam hitungan detik. However, they are only effective on systems that do not use a salt , such as Windows LAN Manager and some application programs. Namun, mereka hanya efektif pada sistem yang tidak menggunakan garam , seperti Windows LAN Manager dan beberapa program aplikasi.
[ edit ] PreventionPencegahan
Main article: Shadow password Artikel utama: Shadow password
The best method of preventing password cracking is to ensure that attackers cannot get access even to the encrypted password. Metode terbaik untuk mencegah password cracking adalah untuk memastikan bahwa penyerang tidak bisa mendapatkan akses bahkan sampai ke password terenkripsi. For example, on the Unix operating system , encrypted passwords were originally stored in a publicly accessible file /etc/passwd . Sebagai contoh, pada Unix sistem operasi , password terenkripsi awalnya disimpan dalam file diakses publik / etc / passwd. On modern Unix (and similar) systems, on the other hand, they are stored in the file /etc/shadow , which is accessible only to programs running with enhanced privileges (ie, 'system' privileges). Pada Unix modern (dan sejenisnya) sistem, di sisi lain, mereka disimpan di file / / shadow dll, yang dapat diakses hanya untuk menjalankan program dengan hak istimewa ditingkatkan (yaitu, 'sistem' hak). This makes it harder for a malicious user to obtain the encrypted passwords in the first instance. Hal ini membuat lebih sulit untuk pengguna jahat untuk mendapatkan password terenkripsi pada tingkat pertama. Unfortunately, many common network protocols transmit passwords in cleartext or use weak challenge/response schemes. [ 9 ] [ 10 ] Sayangnya, banyak protokol jaringan yang umum mengirimkan password dalam teks-jelas atau menggunakan tantangan yang lemah / skema respon. [9] [10]
Modern Unix systems have replaced traditional DES-based password hashing with stronger methods based on MD5 and Blowfish. [ 11 ] Other systems have also begun to adopt these methods. Sistem Unix modern telah mengganti sandi DES tradisional berbasis hashing dengan metode yang lebih kuat berdasarkan MD5 dan Blowfish. [11] Sistem lain juga mulai mengadopsi metode ini. For instance, the Cisco IOS originally used a reversible Vigenère cipher to encrypt passwords, but now uses md5-crypt with a 24-bit salt when the "enable secret" command is used. [ 12 ] These newer methods use large salt values which prevent attackers from efficiently mounting offline attacks against multiple user accounts simultaneously. Sebagai contoh, Cisco IOS awalnya menggunakan reversibel cipher Vigenere untuk mengenkripsi password, tapi sekarang menggunakan md5-crypt-bit dengan garam 24 ketika "mengaktifkan rahasia" Perintah ini digunakan. [12] Metode-metode yang lebih baru menggunakan nilai garam besar yang mencegah penyerang dari efisien mount serangan offline terhadap akun pengguna secara bersamaan. The algorithms are also much slower to execute which drastically increases the time required to mount a successful offline attack. [ 13 ] Algoritma juga jauh lebih lambat untuk mengeksekusi yang secara drastis meningkatkan waktu yang diperlukan untuk me-mount serangan offline yang sukses. [13]
Many hashes used for storing passwords, such as MD5 and the SHA family, are designed for fast computation and efficient implementation in hardware. Banyak hash digunakan untuk menyimpan password, seperti MD5 dan SHA keluarga, dirancang untuk perhitungan cepat dan implementasi yang efisien di hardware. Using key stretching algorithms, such as PBKDF2 , to form password hashes can significantly reduce the rate at which passwords can be tested. Menggunakan peregangan kunci algoritma, seperti PBKDF2 , untuk membentuk hash password dapat secara signifikan mengurangi tingkat di mana password dapat diuji.
Solutions like a security token give a formal proof answer by constantly shifting password. Solusi seperti keamanan token memberikan bukti formal jawaban dengan password yang selalu berubah. Those solutions abruptly reduce the timeframe for brute forcing (attacker needs to break and use the password within a single shift) and they reduce the value of the stolen passwords because of its short time validity. Mereka tiba-tiba solusi mengurangi waktu untuk kasar memaksa (penyerang kebutuhan untuk istirahat dan menggunakan password tersebut dalam pergeseran tunggal) dan mereka mengurangi nilai dari password dicuri karena validitas waktu pendek.
[ edit ] SoftwareSoftware
Main category: Password cracking software . Kategori Utama: Password software cracking .
There are many password cracking software tools, but the most popular [ 14 ] are Cain and Abel , John the Ripper , Hydra , ElcomSoft and Lastbit . Ada banyak password cracking software, tapi yang paling populer [14] adalah Kain dan Habel , John the Ripper , Hydra , Elcomsoft dan Lastbit . Many litigation support software packages also include password cracking functionality. Banyak dukungan litigasi software paket juga termasuk crack fungsi password. Most of these packages employ a mixture of cracking strategies, with brute force and dictionary attacks proving to be the most productive. Kebanyakan dari paket ini menggunakan campuran strategi crack, dengan kekuatan kasar dan serangan kamus membuktikan menjadi yang paling produktif.

Tidak ada komentar:

Poskan Komentar