आज की इस पोस्ट में हम जानेंगे की किसी एप्लिकेशन का पासवर्ड कैसे क्रैक करें? इस पोस्ट में हम आपको कुछ ऐसे उपाय बताने जा रहे हैं जिससे आप आसानी से किसी भी किसी एप्लिकेशन का पासवर्ड क्रैक कर सकते है तो चलिए की आखिर किसी Application के Password का पता कैसे लगा सकते हैं इसके बारे में जानते हैं।
किसी एप्लिकेशन का पासवर्ड कैसे क्रैक करें?
What is Password Cracking in Hindi – Password Cracking क्या हैं?
Cryptanalysis और Computer security के अन्तर्गत, पासवर्ड क्रैकिंग का अर्थ कंप्यूटर पासवर्ड की खोज के लिए उपयोग किए जाने वाले विभिन्न उपायों से है की प्रक्रिया। पासवर्डहैं क्रैकिंग से आमतौर पर कंप्यूटर सिस्टम में ही Stored (संग्रहीत) डाटा से पासवर्ड को Recover किया जाता है । पासवर्ड क्रैकिंग आपके पासवर्ड का अनुमान लगाकर भी किया जाता है।
पासवर्ड क्रैकिंग कई कारणों से की जा सकती है, ज़्यदातर Password Cracking के द्वारा Hacker आपके password को पता करके आपके computer या आपके Account को आपकी Permission के बिना Access करते है और आपकी Important Information या Data को चोरी करके उसका गलत तरीके से उपयोग करते हैं। किसी के पासवर्ड को क्रैक करना और उसकी इनफार्मेशन को जानना गलत है और यह साइबर क्राइम के अंतर्गत आता है, जिसे करना कानूनी तौर पर अपराध है।
What is password strength?
Password strength, अनुमान लगाने या क्रूरता के हमलों के खिलाफ पासवर्ड की प्रभावशीलता का एक उपाय है। अपने सामान्य रूप में, यह अनुमान लगाता है कि एक हमलावर जिसके पास पासवर्ड तक सीधी पहुंच नहीं है, उसे सही अनुमान लगाने के लिए औसतन कितने ट्रायल की आवश्यकता होगी?
Password strength ही आपके Password’s efficiency को Measure करता हैं की आपका पासवर्ड कितना सिक्योर है अगर आपका पासवर्ड सिक्योर है तो यह आपको हैकर हो आपका Password guessing और brute-force attacks काफी हद तक आपको सुरक्षित कर देता हैं । एक Password strength को निम्नलिखित चीजों पर निर्धारित किया गया हैं।
- Length: the number of characters the password contains.
- Complexity: does it use a combination of letters, numbers, and symbol?
- Unpredictability: is it something that can be guessed easily by an attacker?
आइए अब एक practical example के द्वारा Password की Strength क्या होती है इसके बारे में जानते है । हम यहाँ पर तीन तरह के पासवर्ड का उपयोग करेंगे जो की इस प्रकार हैं।
- password
- password1
- #password1$
इस उदाहरण के लिए, हम पासवर्ड बनाते समय Cpanel के password strength indicator का उपयोग करेंगे। नीचे दी गई Image में उपरोक्त सूचीबद्ध पासवर्डों में से प्रत्येक की password strengths दिखाती हैं।
Note: the password used is password the strength is 1, and it’s very weak.
Note: the password used is password1 the strength is 28, and it’s still weak.
Note: The password used is #password1$ the strength is 60 and it’s strong.
पासवर्ड जितना ही कम्प्लेक्स होता है वह उतना ही ज्यादा Secure माना जाता हैं इसलिए Password हमेशा बड़ा बनाये और उसमे special letter characters का इस्तेमाल ज़रूर करें।
अब मान लें अगर आपका डिवाइस md5 एन्क्रिप्शन का उपयोग करके आपके उपरोक्त पासवर्ड को Store करता है। तो आपको लाइव प्रैक्टिकल दिखाने के लिए हम अपने पासवर्ड को md5 hash में बदलने के लिए एक ऑनलाइन md5 hash generator टूल का उपयोग करेंगे।
जब हमने password, password1 और #password1$ को md5 hash generator से convert किया हो मुझे निम्लिखित रिजल्ट देखने को मिले।
| Password | MD5 Hash | Cpanel Strength Indicator |
|---|---|---|
| password | 5f4dcc3b5aa765d61d8327deb882cf99 | 1 |
| password1 | 7c6a180b36896a0a8c02787eeafb0e4c | 28 |
| #password1$ | 29e08fb7103c327d68327f23d8d9256c | 60 |
हम अब उपरोक्त hashes को क्रैक करने के लिए http://www.md5this.com/ वेबसाइट Tool का उपयोग करेंगे। नीचे दी गई Image में उपरोक्त पासवर्ड के लिए पासवर्ड क्रैकिंग परिणाम दिखाती हैं।
जैसा कि आप उपरोक्त परिणामों से देख सकते हैं, हमने पहले और दूसरे पासवर्ड को क्रैक करने में कामयाब मतलब जो password Complex नहीं थे उनको हमने क्रैक कर लिया।
तीसरा पासवर्ड जो की #password1$ था और इसमें हमने special letter characters का इस्तेमाल करके इसको complex बनाया था उसको क्रैक करने में कामयाब नहीं हुए।
Password cracking techniques
अब हम जानेगे की किसी पासवर्ड को क्रैक करने के लिए ऐसी कौन सी Techniques हैं जिनका उपयोग करके कोई भी हैकर आसानी से आपके पासवर्ड को क्रैक कर सकता है। Password cracking सबसे अधिक इस्तेमाल किए जाने Techniques के बारे हम आपको बताने जा रहे है;
- Dictionary attack– इस Method में user passwords के खिलाफ तुलना करने के लिए wordlist का उपयोग शामिल है।
- Brute force attack– यह Method dictionary attack के समान है। Brute force attack एल्गोरिदम का उपयोग करते हैं जो अटैक के लिए पासवर्ड के साथ आने के लिए alpha-numeric characters और symbols को मिलाते हैं। उदाहरण के लिए, वैल्यू “पासवर्ड” का पासवर्ड भी पी @ $ $ शब्द के रूप में जानवर बल के हमले का उपयोग करके आजमाया जा सकता है।
- Rainbow table attack– यह Method pre-computed hashes का उपयोग करती है। मान लें कि हमारे पास एक डेटाबेस है जो पासवर्ड को md5 hashes के रूप में संग्रहीत करता है। हम एक और डेटाबेस बना सकते हैं जिसमें आमतौर पर उपयोग किए जाने वाले पासवर्डों की md5 hashes है। फिर हम पासवर्ड हैश की तुलना डेटाबेस में संग्रहीत हैश के खिलाफ कर सकते हैं। यदि कोई मैच पाया जाता है, तो हमारे पास पासवर्ड है।
- Guess–जैसा कि नाम से पता चलता है, इस पद्धति में अनुमान लगाना शामिल है। पासवर्ड जैसे कि क्वर्टी, पासवर्ड, एडमिन इत्यादि को आमतौर पर डिफॉल्ट पासवर्ड के रूप में इस्तेमाल या सेट किया जाता है। यदि उन्हें बदला नहीं गया है या पासवर्ड का चयन करते समय उपयोगकर्ता लापरवाह है, तो उन्हें आसानी से समझौता किया जा सकता है।
- Spidering–अधिकांश संगठन पासवर्ड का उपयोग करते हैं जिसमें कंपनी की जानकारी होती है। यह जानकारी कंपनी की वेबसाइटों, सोशल मीडिया जैसे फेसबुक, ट्विटर, आदि पर देखी जा सकती है। स्पाइडरिंग इन स्रोतों से शब्द सूची के साथ आने के लिए जानकारी इकट्ठा करती है। शब्द सूची का उपयोग तब शब्दकोश और brute force attacks को करने के लिए किया जाता है।
Password c racking tool
यह ऐसे सॉफ्टवेयर प्रोग्राम होते हैं जिनका उपयोग Hacker Victim के पासवर्ड को क्रैक करने के लिए इस्तेमाल करते है। Password Strength क्या होती है इसके बारे में हम उदाहरण के साथ ऊपर चर्चा कर चुके वेबसाइट www.md5this.com पासवर्ड क्रैक करने के लिए rainbow table का उपयोग करती है। अब हम सामान्य रूप से Password क्रैकिंग के लिए उपयोग किए जाने वाले कुछ और Tools के बारे में जानेंगे।
John the Ripper
John the Ripper पासवर्ड क्रैक करने के लिए कमांड प्रॉम्प्ट का उपयोग करता है। यह टूल उन लोगो के लिए काफी अच्छा है जिन्हे Commend के साथ काम अच्छा लगता है। यह पासवर्ड क्रैक करने के लिए wordlist का उपयोग करता है। John the Ripper के बारे में अधिक जानकारी के लिए वेबसाइट https://www.openwall.com/john/ पर जाएं और और इसका उपयोग कैसे करेंइसके बारे में डिटेल्स में जाने।
Cain & Abel
Cain & Abel Program Windows System पर चलता है। इसका उपयोग user accounts के Password को Recover करने के लिए किया जाता है। John the Ripper के विपरीत Cain & Abel एक ग्राफिक यूजर इंटरफेस का उपयोग करता है। इसलिए Beginners भी इसका इस्तेमाल अच्छे से कर सकते हैं। Cain & Abel के बारे में अधिक जानकारी के लिए इसकी वेबसाइट http://www.softpedia.com/get/Security/Decrypting-Decoding/Cain-and-Abel.shtml पर जाये।
Ophcrack
Ophcrack एक क्रॉस-प्लेटफ़ॉर्म विंडोज पासवर्ड क्रैकर है जो पासवर्ड क्रैक करने के लिए Rainbow Tables का उपयोग करता है। यह Windows, Linux और Mac OS पर चलता है। इसमें अन्य विशेषताओं के साथ साथ brute force attacks के लिए एक मॉड्यूल भी है। अधिक जानकारी के लिए वेबसाइट http://ophcrack.sourceforge.net/ पर जाएं और जाने की इसका इसका उपयोग कैसे किया जाता हैं।
Password-Cracking Hacking से कैसे बचें?
आप अपने पासवर्ड के क्रैक या हैक होने की संभावना को कम करने के लिए निम्न विधियों का उपयोग कर सकता है
- छोटा और आसानी से प्रेडिक्टेबल होने वाले पासवर्ड से बचें और हमेशा एक Complex password इस्तेमाल करें।
- 12345678 abc@123 जैसे common password कभी इस्तेमाल न करें।
-
अपना पासवर्ड हमेशा upper lowercase letters, special characters और numbers के साथ मिलाकर बनाये केवल numbers या Letters का password न बनाये क्योकि ऐसे passwords को आसानी से cracked किया जा सकता हैं।
-
अपने पासवर्ड को हर 3 से 4 Month में Change कर लेना चाहिए।
- Use different passwords for each system
-
Use variable-length passwords
Hacking Activity: Hack Now!
इस practical scenario में, हम एक simple password के साथ Windows account के पासवर्ड को क्रैक करने जा रहे हैं।Windows पासवर्ड को Encrypt करने के लिए NTLM Hashes का उपयोग करता है। हम NTLM क्रैकर टूल का उपयोग Cain and Abel में करेंगे।
Cain and Abel cracker can be used to crack passwords using;
- Dictionary attack
- Brute force
- Cryptanalysis
हम इस उदाहरण में dictionary attack का इस्तेमाल करेंगे, इसका इस्तेमाल करने के लिए आपको dictionary attack wordlist को Download करना पड़ेगा इसे 10k-Most-Common.zip यहाँ से डाउनलोड कर सकते हैं।
Password क्रैकिंग की Practice करने के लिए हमने विंडोज 7 पर पासवर्ड *qwerty * के साथ एक Account नाम का User बनाया है।
Password cracking steps
- Open Cain and Abel, you will get the following main screen
- Make sure the cracker tab is selected as shown above
- Click on the Add button on the toolbar.
- The following dialog window will appear
- The local user accounts will be displayed as follows. Note the results shown will be of the user accounts on your local machine.
- Right click on the account you want to crack. For this tutorial, we will use Accounts as the user account.
- he following screen will appear
- Right click on the dictionary section and select Add to list menu as shown above
- Browse to the 10k most common.txt file that you just downloaded
- Click on start button
- If the user used a simple password like qwerty, then you should be able to get the following results.
- Note-पासवर्ड को क्रैक करने में लगने वाला समय आपकी मशीन की password strength, complexity and processing power of your machine पर निर्भर करता है।
- यदि dictionary attack के द्वारा आपका पासवर्ड Cracked नहीं हुआ है तो आप brute force or cryptanalysis attacks को Try कर सकते हैं।
