Hashcat: So hacken Sie Passwörter mit verschiedenen Hashes in Windows

Eine Hash-Funktion ist das Ergebnis der Konvertierung eines Werts in einen anderen mit einem Algorithmus. Wenn wir ein Passwort in einer Datenbank oder in einem System speichern müssen, speichern wir das Passwort nicht wirklich, aber wir Speichern Sie den Hash dieses Passworts . Der Grund ist, dass eine Hash-Funktion nur in eine Richtung funktioniert. Wir haben das Passwort gehasht und den Hash dieses Schlüssels gespeichert.

Mit dem Hash einer bestimmten Datei Es ist nicht möglich, die Originaldatei wiederherzustellen Aus diesem Grund besteht eine gute Sicherheitspraxis darin, die Kennwort-Hashes in den Datenbanken zu speichern, damit niemand die Informationen im Klartext erhalten kann. Um diesen „Hash“ zu knacken, testen Sie Tausende von Kombinationen und vergleichen, ob die Hashes gleich sind.

Hacken Sie Passwörter mit verschiedenen Hashes in Windows

Andere Verwendungen, die einem Hash gegeben werden können, sind zu Überprüfen Sie die Integrität einer Datei , das heißt, zu wissen, ob es geändert wurde oder nicht. Der Hash-Footprint jeder Datei ist eindeutig. Wenn festgestellt wird, dass zwei verschiedene Dateien oder Daten denselben Hash generieren, wird davon ausgegangen, dass eine Kollision aufgetreten ist und dieser verwendete Hashing-Algorithmus nicht sicher ist.

Der Hash ist normalerweise kleiner als die Originaldaten . Dies liegt daran, dass das Hashing einfach einen Code mit einer bestimmten festen Länge generiert, obwohl es Hash-Funktionen gibt, die eine variable Ausgabe haben. Der Hash Fügt eine Schutzschicht beim Speichern von Passwörtern hinzu , da es nicht möglich ist, es zu entschlüsseln, es sei denn, Sie greifen es mit brutaler Gewalt oder einem Wörterbuch an. Es gibt ein Tool namens Hashcat Auf diese Weise können Sie Kennwörter mithilfe der wichtigsten Hashing-Algorithmen zum Speichern von Kennwörtern knacken. Dieses Mal zeigen wir Ihnen Schritt für Schritt, wie Sie dieses Tool installieren können Windows 10, obwohl es auch kompatibel ist mit Linux und MacOS-Betriebssysteme.

Warum sollte ich ein solches Tool auf meinem Computer haben wollen? Sowohl Computersicherheitsexperten als auch Enthusiasten verwenden dieses Tool, um zu überprüfen, wie geschützt die verschiedenen Kennwörter sind. Wie jedes Tool dieses Typs kann es jedoch von Cyberkriminellen für böswillige Zwecke verwendet werden. Auf jeden Fall halten wir es für wichtig, dass jeder Zugang zu Tools mit diesen Dienstprogrammen für Bildungs- und Berufszwecke hat.

So installieren Sie Hashcat unter Windows 10

Was wir zuerst tun werden, ist die Eingabe der offiziell Hashcat Portal und laden Sie die Datei im Binärformat herunter. Betrachten Sie diesen Screenshot als Referenz:

Die Datei wird in komprimierter Form heruntergeladen. Um im Allgemeinen alle komprimierten Dateien dekomprimieren und verwalten zu können, verwenden Sie übrigens die 7-Zip-Programm . Entpacken Sie den Ordner an einem geeigneten Ort, um diesen Ordner zu suchen und einzugeben. Sie sehen mehrere Dateien und vor dem Start kopieren wir eine Verknüpfung zu Eingabeaufforderung (Befehlszeile), um bei Bedarf einfacher auf Hashcat zugreifen zu können:

Sobald wir die gefunden haben cmd ausführbar, kopieren wir es und fügen es in den Ordner ein, aus dem wir herunterladen Hashcat .

Sobald wir das cmd in den Ordner eingefügt haben, können wir Hashcat über die Eingabeaufforderung verwenden

Wir öffnen die cmd und verwenden das Tool direkt ab dem Speicherort des Ordners, den wir heruntergeladen haben.

Ein einfacher Befehl, mit dem wir überprüfen können, ob das Tool ordnungsgemäß ausgeführt wird, lautet wie folgt:

hashcat64.exe --help

Wenn unser Betriebssystem 32 Bit ist, verwenden wir den folgenden Befehl:

hashcat32.exe --help

Eine umfangreiche Liste von Befehlsargumenten sowie alle Informationen, die erforderlich sind, um Hashcat in verschiedenen Szenarien zu nutzen, werden angezeigt.

Brute-Force-Angriff ausführen

Immer im selben Ordner, werden wir zwei erstellen .txt Dateien, um unsere zu simulieren Brute-Force-Angriff . In der ersten Datei speichern wir unser verschlüsseltes Passwort und in der anderen Datei das bereits geknackte Passwort.

In diesem Beispiel rufe ich die Datei auf, um das verschlüsselte Passwort zu speichern passwort_hash und wo das geknackte Passwort sein wird, wird es einfach aufgerufen Riss .

Um unser Passwort zu verschlüsseln, finden wir mehrere Hash-Generatoren. Der, den wir benutzt haben, ist dieses hier , Das bietet eine Vielzahl von Verschlüsselungsalgorithmen. Sie müssen einfach den Text eingeben, um den Hash zu verschlüsseln und in Echtzeit zu generieren. Wenn Sie dem Text weitere Wörter hinzufügen, wird der generierte Hash automatisch aktualisiert.

Sobald Sie den Hash generiert haben, speichern Sie ihn in der Datei, die wir kürzlich zum Speichern des verschlüsselten Kennworts erstellt haben. Unser Beispiel: passwort_hash . Anschließend kehren wir zur Hashcat-Befehlszeile zurück, um das Knacken unseres verschlüsselten Kennworts durchzuführen.

Die Struktur des Befehls ist einfach und hängt davon ab, was wir tun möchten. Zusammenfassend müssen wir berücksichtigen, dass gemäß dem Verschlüsselungsalgorithmus, den wir zum Verschlüsseln der Daten und der Art des Angriffs verwenden, die CPU Die Nutzung kann erheblich zunehmen. Folglich müssen wir sicherstellen, dass unser Computer nicht durch das Knacken von Passwörtern überhitzt wird.

Es empfiehlt sich, Programme zu haben, die die Temperatur unseres Computers und die Verwendung der CPU überwachen und gleichzeitig mit Hashcat geöffnet haben. Auf diese Weise können wir alle Eventualitäten verhindern. Zum Beispiel, der blaue Bildschirm .

Befehl für Brute-Force-Angriff auf MD5-Hash

hashcat64.exe -m0 -o crackeo.txt contrasena_hash.txt

Der Befehl, den wir oben sehen, hat verschiedene Argumente, die Folgendes bedeuten:

  • hashcat64.exe - die ausführbare Hashcat-Datei
  • -m0 - der zu knackende Verschlüsselungsalgorithmus (MD5)
  • -o - die Art des auszuführenden Angriffs, der sein wird Brute-Force-
  • crackeo.txt - Die Datei, in der das geknackte Passwort gespeichert wird
  • password_hash.txt - die Datei, in der wir das zu knackende Passwort haben

Dies gilt natürlich auch für das massive Knacken von Passwörtern. Das heißt, in derselben Datei können wir Hunderttausende oder Millionen von Passwörtern haben. Es ist gut, die Tatsache zu bekräftigen, dass dies einen guten Ressourcenverbrauch erfordert. Wir empfehlen daher äußerste Vorsicht bei der Verwendung dieser Lösung.

Sobald Sie diesen Befehl ausgeführt haben, sollten Sie nichts mehr tun. Wenn alles in Ordnung ist, müssen Sie einige Minuten warten, bis festgestellt wird, ob der Cracking-Prozess erfolgreich oder nicht erfolgreich war. Dies ist ein Beispiel dafür, ob das Cracken erfolgreich war:

Wer benutzt Hashcat?

Ursprünglich wurde diese Lösung für legitime Zwecke entwickelt. Vor allem für berufliche Zwecke. Ein Systemadministrator kann beispielsweise Hashcat verwenden, um die Sicherheit der Kennwörter von Benutzern zu überprüfen, die Teil eines Netzwerks sind. Wenn Sie es geschafft haben, es selbst zu knacken, kann es auch ein Cyberkrimineller tun.

Ein weiterer Kontext, in dem es angewendet werden kann, ist in Pentesting . Das Hauptziel von Pentester ist es, so viele Sicherheitslücken wie möglich zu finden, damit seine Kunden so viele Sicherheitsmaßnahmen zum Schutz ihrer Systeme anwenden können. Sowohl im beruflichen als auch im akademischen Kontext können Werkzeuge dieser Art eingesetzt werden.

Es ist nicht möglich zu verhindern, dass Cyberkriminelle diese Art von Tools verwenden, um Daten von Millionen von Menschen auf der ganzen Welt anzugreifen und zu verwenden. Diejenigen, die es für legitime Zwecke verwenden, werden sich jedoch bewusst, wie wichtig es ist, nicht nur sichere Passwörter zu haben, sondern diese auch mit dem höchstmöglichen Schutzniveau zu speichern.

Sie könnten denken, dass Hashcat ein Tool ist, das es für uns fast nutzlos macht, Hashing-Algorithmen für unsere Passwörter zu verwenden, selbst mit den robustesten Algorithmen wie SHA3. Wäre es nicht besser, alles im Klartext zu speichern und das war's? Nein, es ist auch obligatorisch, dass Organisationen, die Kennwörter für den Zugriff auf ihre Dienste benötigen, diese sicher speichern, damit mehr Sicherheit und Datenschutz erhalten bleiben.