Hogyan lehet feltörni jelszavakat csak úgy? Ez úgy történik, mint a filmekben, hogy ír egy hosszú parancsot (vagy inkább program) és kész? (részlezek lent)

"csak ugy" a filmekben tornek fel jelszavakat.

a valosagban "meglesik" a jelszavat.

Azért nem ilyen egyszerű a dolog.

A filmekben csupa kamu dolog van. 1-2 ritka kivételtől eltekintve, pl a Mr. Robot.

A valóságban ezer módja van, de egyik sem egyszerű.

A legegyszerűbb ha valahogy kilesik a jelszavakat. Ezt lehet számítógépes programokkal, pl keylogger, vagy lehet egész egyszerűen hamis átverő oldalakkal. (scamming) De akár social engineering módszer is célra vezethet.

Ha ez nem lehetséges, jön a többi. Sniffing, tunneling, vagy ha megvan a kódolt jelszó hash, akkor annak a feltörése, brute force segítségével, vagy ha szerencsénk van, és hatalmas tárolókapacitásunk akkor rainbow table attack és célravezető.

S akkor még nem beszéltünk a 0st day exploitokról, meg az ismert hátsó kapukról, amivel bármilyen kódot le tudnak futtatni a célszemély számítógépén, és így nem is szükséges hozzá feltétlen bármilyen jelszó.

Azonban el kell, hogy keserítselek. Ezek mindegyike elég nagy tudást igényel, módszertől függően akár nagyobbat mintha profi programozó lennél a microsoftnál. Minimum több éves tanulásra lenne szükséged hozzá. Pár haver szívatásáért ennyit szenvedni, valszeg nem éri meg.

Nembeszélve arról, hogy Magyarországon elég durván is büntethetik a dolgot, ha valamelyik haverod nem veszi a poént, és feljelent, simán kinéz neked pár hónap közmunka, vagy börtön.

Persze vannak scriptkiddiek-nek gyártott vicces kis programok, de ezeknek a többsége vírusokat rejt, ami a te gépedet teszi célpontá. A többi meg egyszerűen nem működik, vagy gagyi.

Bocs, csak már kb az ezredik ilyen kérdésre válaszolok, és általában mindig ez áll a háttérben.

Bevallom csak felületesen olvastam át a kérdésed.

Szeretném letisztázni,hogy én nem crackerkedni vagy hackerkedni szeretnék,tehát engem az informatikai magyarázata érdekel,nem az,hogy miképpen szivathatnám meg a haverjaimat.

Szeretném letisztázni,hogy én nem crackerkedni vagy hackerkedni szeretnék,tehát engem az informatikai magyarázata érdekel,meg az,hogy miképpen szivathatnám meg a haverjaimat.

Csak 1 betű a különbség, az agy simán eltéveszti... :D

Több féle titkosítási módszer van.

MD5, SHA1, SHA1-256, SHA1-512, stb.

Mindenféle szövegből legyen az begépelt, program kód, vagy fájl lehet készíteni egy kód sort, avagy más néven Hash kódot.

Ez több mindenre szolgál: titkosításra és fájl ellenőrzésre.

Nézzük először az utóbbit:

Van egy programom, amiből generálok egy hash kódot és mondjuk kiteszem egy weboldalra.

Más megkapja a programot és belenyúl a kódba, amit tovább ad. Mivel a karakter sor nem egyezik meg az eredeti kóddal, így más hash generálódik le. (Persze ha kitörli a módosítást, akkor ismét az eredeti hash fog.)

Ezt a módosított programot odaadják másnak, aki ellenőrzés képen legenerálja a hash kódot a programból, amit összehasonlít a weboldalon látottal. !!Észreveszi, hogy nem ugyanaz a 2 kód, így tudja, hogy valaki belenyúlt, ezáltal a kapott program nem az eredeti.

Titkosítás:

Van sokféle, de az alapja a modulus. Azaz programozási nyelvekben a maradékos osztás azaz: %

Ötöt osztom 3-al = maradék azaz: 5 % 3 = 2

És te csak a "2"-es számot látod. Igen de ez is kettőt ad: 8 % 3 = 2. Mivel 8-(2*3) = 2 és így tovább.

x % 3 = 2 és ahol az x számból úgy marad kettő, hogy x = 2+y ahol y mindig osztható 3-al maradék nélkül. x lehet 2, 5, 8, 11, 14, 17, 20, ... végtelenségig.

Akkor a kérdés: melyik számra gondoltam, ha maradék: 121???

Persze nem ilyen kis számokkal szoktak játszani. A legtöbbet használt az RSA algoritmus vagy eljárás. Ezt kommunikációra használják. De ha privát kulcsot eldobják/megsemmisítik akkor lényegében visszafejthetetlen kód lesz belőle.

Csak, hogy: ezt generálják, public kulcsokat letétbe helyezik stb, így ez nem statikus titkosításra való, mint a jelszó titkosítás.

RSA-eljárás: [link]

A jelszó titkosításra inkább maga a forrás anyagból nyerik az értéket és az osztandót. Mivel minden karakternek megvan a saját kódja, legyen az ASCII vagy UTF-8 és így tovább. Így a számítógép nem karaktereket lát, hanem minden karakter mögött egy számot, amivel már matematikai műveletet képes végrehajtani.

De! Akkor mi van, ha jelszónak módosítását titkosítják??

Azaz:

1) felhasználó beírja a következőt, mint jelszót: password

2) program készít egy sha1 kódot: 5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8

3) a program ezt megbuherálja és az első szám alapján kicserél bizonyos karaktereket: tehát 5 az első szám, így minden 5. betűt abc betű sorrendben cserélget:

5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8 <- régi

5baa6ae4c9b93f3c0682d50b6ce8331d7ee6efd8 <- új

4) és ezt az új hash-t újra sha1-ezi: 7bdd686f90f84bcf01bfb25a346d65e99e08db3c

Text to Hash: [link]

Tehát ezt a 7bdd686f90f84bcf01bfb25a346d65e99e08db3c hash kódból ha vissza is fejted, mert sikeresen megtörted az sha1-et, nem a "password"-öt fogod visszakapni. Így hiába a megfejtettet írod be, nem fog egyezni az adatbázisban tárolttal. Tehát nem jutottál sehova.

Még ha nem is manipulálják az eredeti hash kódot, akkor a mostani sha1-512 visszafejtése máig ismeretlen. Továbbá kipróbálni minden karakter kombinációt, több ideig tartana a mai szuperszámítógépeknek, mint az ember átlagos élettartam. Így a támadások már régens rég óta nem jelszó lopással játszanak. Mármint a legmodernebbek ellen.

Mivel vannak olyan rendszerek, amik mér a régen, máma nem javasolt titkosítást használják. Ha lecserélnék az algoritmust, akkor a jó jelszóval se engedné be a felhasználókat: mivel más hash kód keletkezne, ami nem egyezik a tárolttal. Így egy algoritmus csere, elég megbízhatatlanná tenné a rendszert. Ezért újra regisztrálást szoktak kérni, avagy legalább egy új jelszó igénylést, hogy az új algoritmussal újra tudják generálni a titkosított jelszót.

Továbbá:

Lásd: adathalászat. Készítenek egy banki oldal utánzatot, ami az eredetinek adja ki magát, de ami mögötte van, az nem az. Egyesek megadják a user/jelszőt és máris a támadók kezében vannak az adatok. Ehhez nem kell semmilyen titkosított adatot feltörni.

[link]

Az esetek nagy részében te adod meg önként a jelszavad. Pl facebook.com helyett véletlen facebbok.com-ot írsz be a böngészőbe. Teljesen ugyanúgy fog kinézni, te írod is az adatokat, majd kiírja, hogy baj van, átdob a helyes oldalra, ott megadod újra, belépsz, észre sem veszed. Vagy kapsz egy levelet, hogy nagy baj van, klikk ide, lépj be.

Vagy telepítesz egy atomszuperkirálylegjobb programot, vagy egy játékhoz a feltörést, és az küldi el a megfelelő helyre vagy az összes billentyűleütésedet, vagy a böngészőben tárolt jelszavakat (simán lekérdezhető, ha el van mentve!), és abból kinyerik a megfelelő jelszavakat.

Igen, nagy ritkán valamilyen hibát is kihasználnak hackerek, amivel egy adott adatbázisból szedik ki az eléréseket. De az egyszerű felhasználót nagyon sokkal könnyebb feltörni, mint egy jól védett adatbázist.