John The Ripper - Teste de Quebra de Senhas

Há cerca de dez anos o site da empresa SplashData divulga uma lista das senhas mais usadas (e também as piores) por seus usuários. A partir dos dados de 2015, o que mostrarei aqui é como quebrá-las, utilizando o software livre John The Ripper.

[ Hits: 22.194 ]

Por: Marta Laís em 22/09/2016


Criação dos usuários



O site da empresa de serviços de segurança SplashData divulga anualmente uma lista das piores senhas mais utilizadas pelos seus mais 1 (um) milhão de usuários individuais.

Nessa lista, é possível notar como as pessoas são descuidadas e despreocupadas com as suas senhas de uma forma geral, conforme mostra a primeira colocação da lista: "123456".

Essa lista é de grande importância pois um dos focos da SplashData é prover um serviço de gerência de senhas, ou senha. Eles ajudam os usuários disponibilizando, de forma sigilosa, senhas complexas e seguras, e as administrando.

Segue abaixo a lista (originalmente retirada do site https://www.teamsid.com/worst-passwords-2015/).

Pesquisa feita e divulgada por Morgan Slain, CEO da SplashData.

* A tabela foi feita por mim, mas caso alguém queira checar ou até mesmo ver as listas de outros anos, disponibilizei acima o link.
Agora, antes de quebrar as senhas, é preciso criar os usuários (obviamente), seguindo a tabela de senhas acima. O comando para criar usuários é simples, adduser ou useradd. Os usuários foram criados seguindo a sequência das senhas, ou seja, User01, senha: 123456, e assim por diante. Ao final, temos 25 usuários.
Ao criar os usuários, não foi colocado nenhum tipo de dado fictício, para que possa ser testada a quebra unicamente da senha, sem nenhum tipo de dica vindo de seus dados ou de seus arquivos, uma vez que acabaram de ser criados.

Claro que em uma empresa real, cada usuários teria os seus dados reais preenchidos e, conforme o acesso, o seus diretórios estariam cheios de arquivos e possíveis vulnerabilidades. Porém, o objetivo desse teste é mostrar a quebra de senhas "pura".

Página anterior     Próxima página

Páginas do artigo
   1. Sobre o John The Ripper
   2. Criação dos usuários
   3. Quebra das senhas
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

Checando vulnerabilidades com o Nikto

Ferramentas de segurança - uma pequena compilação

Cliente Linux no servidor LDAP

Computação Forense - Entendendo uma perícia

Como configurar um IPTABLES simples e seguro no Slackware!

  
Comentários
[1] Comentário enviado por Adonist em 22/09/2016 - 11:58h

Aqui nao funcionou simplesmente compilando o arquivo. Tive que ir na pasta 'run' e rodar por la com ./john
Mas no debian de qualquer forma vc pode instalar via: apt-get install john.
Excelente post =)

[2] Comentário enviado por mconrado em 22/09/2016 - 13:17h

Antes de mais nada: Post Sensacional! Parabens Lais.

Uma perguntinha: só funciona na máquina local certo?
é possível usar o John para pegar senhas de uma máquina remota na mesma rede?

[3] Comentário enviado por alvaroantoniosbu em 22/09/2016 - 21:47h

Adorei o artigo, primeiro artigo simplesmente incrível.
Pretendo fazer todo o processo futuramente.

[4] Comentário enviado por LaisMD em 23/09/2016 - 12:07h

.

[5] Comentário enviado por LaisMD em 23/09/2016 - 12:11h


[1] Comentário enviado por Adonist em 22/09/2016 - 11:58h

Aqui nao funcionou simplesmente compilando o arquivo. Tive que ir na pasta 'run' e rodar por la com ./john
Mas no debian de qualquer forma vc pode instalar via: apt-get install john.
Excelente post =)


Isso mesmo, Adonist. Mas o que houve no meu caso foi um erro de repositório, então, para que não tenham nenhum problema com a instalação (o mesmo problema que eu) decidi demonstrar dessa forma, entende? Obrigada!! :D

[6] Comentário enviado por LaisMD em 23/09/2016 - 12:15h


[3] Comentário enviado por alvaroantoniosbu em 22/09/2016 - 21:47h

Adorei o artigo, primeiro artigo simplesmente incrível.
Pretendo fazer todo o processo futuramente.


Que bom que gostou, Alvaro. :)

[7] Comentário enviado por LaisMD em 23/09/2016 - 12:17h


[2] Comentário enviado por mconrado em 22/09/2016 - 13:17h

Antes de mais nada: Post Sensacional! Parabens Lais.

Uma perguntinha: só funciona na máquina local certo?
é possível usar o John para pegar senhas de uma máquina remota na mesma rede?


Para acessar o arquivo shadow, onde ficam os hash das senhas, você precisa ter acesso máquina, você pode tentar um ssh (caso seja linux - linux) ou um teamview. :)

[8] Comentário enviado por WBaluz em 23/09/2016 - 16:39h

Muito Legal o artigo. Como de costume, é super importante dar atenção para a criação de senhas.

[9] Comentário enviado por EuzebioViana em 01/10/2016 - 18:45h

Parabéns pelo artigo! Muito bom.

[10] Comentário enviado por sauloray em 03/10/2016 - 15:37h

Boa tarde galera!
Laís muito legal o post, me ajudou muito esses dias a conseguir resolver algumas broncas na empresa.
NOTA: 10 !!!

[11] Comentário enviado por nao_eh_osimpson em 04/07/2019 - 10:09h

Bem explicado e nem um pouco tedioso, meus parabéns

+------+
| bart |
+------+


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts