İçeriğe geçmek için "Enter"a basın

Çevrimiçi Parola Saldırısı

Bölüm 1: Test Parolası Güvenliği

  1. Aşağıdaki URL’yi ziyaret edin:https://lowe.github.io/tryzxcvbn/
  2. Ne kadar güçlü olduklarını görmek için farklı şifreler deneyin.

Bölüm 2: Önceki Veri İhlalleri için Hesabınızı Kontrol Edin

  1. Çevrimiçi hesaplarınızdan birinin ihlal edilip edilmediğini kontrol edin. Ziyaret: https://haveibeenpwned.com . Veri ihlalinde zaten bir tehlike altında olup olmadığını görmek için e-posta hesaplarınızdan birini veya kullanıcı adlarınızı girin.
  2. Sonraki ziyaret: https://haveibeenpwned.com/Passwords bugüne kadar veri ihlalinde bir taviz verilip verilmediğini görmek için bazı şifrelerinizi deneyin.
  3. Son olarak, ziyaret edin: https://haveibeenpwned.com/NotifyMe Gelecekte hesaplarınızdan biri ihlal edildiğinde haberdar olmak için kaydolun.

Bölüm 3: İki Faktörlü Kimlik Doğrulaması için Kayıt

Https://twofactorauth.org adresini ziyaret edin ve düzenli olarak kullandığınız çevrimiçi bir hizmeti bulmak için göz atın (örneğin, Gmail, Snapchat, Instagram, Facebook vb.). Bu hizmet için iki faktörlü kimlik doğrulamanın nasıl ayarlanacağını öğrenmek için “Dokümanlar” sütunundaki oku simgesini tıklayın. En az bir hesap için 2FA’ya kaydolun.

Bölüm 4: Parola Yöneticisi

KeePass’ın adı KeePassX.– yalnızca Linux, Windows ve macOS için kullanılabilir.
KeePass, açık kaynak ve hem maliyet (sıfır) hem de güvenlik açısından (incelemeye açıldığından beri) popüler olan şifre yöneticilerinden sadece bir tanesidir.

Bölüm 5: Çevrimiçi Parola Saldırısı

Not: Bu bölüm Kali VM’yi kullanır .

Bu saldırıda RockYou.txt belgesi kullanılacak, 32 milyon şifre ihlali ile gelen tüm benzersiz şifrelerden oluşan metin belgesidir.

  1. İlk olarak şifre listesini açın:gunzip /usr/share/wordlists/rockyou.txt.gz
  2. Bir çevrimiçi şifre saldırısı başlatmak için rockyou şifre listesini kullanacağız. kullanacağımız araç, THC-Hydra. Bir tarayıcıda https://is.theorizeit.org adresini ziyaret edin . Bu site için şifreyi kırmak istediğinizi varsayalım. Kali VM’nizde bir terminal açın. Aşağıdakini yazın (tümü bir satıra):

    hydra -V -l istheory -P /usr/share/wordlists/rockyou.txt https-get://is.theorizeit.org/auth/

    Not: Sondaki eğik çizgi (‘/’) gereklidir.

Açıklama:

  • hydra yürütmek için şifre kırma aracıdır.
  • -V ayrıntılı anlamına gelir ve size denenmekte olan kullanıcı adı ve şifre kombinasyonunu gösterir.
  • -l istheorygiriş adı olarak “istheory” yi ayarlar. Not: ( -l ) bu bir ‘L’ harfidir.
  • -P /usr/share/wordlists/rockyou.txt kullanılacak şifre sözlüğü dosyasıdır.
  • https-getHTTPS üzerinden bir GET isteği anlamına gelir . Hydra’nın birçok protokolü desteklediğini unutmayın (örneğin, ftp, ssh).
  • is.theorizeit.org/auth/ erişilmesi gereken şifre korumalı URL’dir.

Hydra çıktısı size hangi saatte başladığını, kaç şifreyi denediğini ve ne zaman durduğunu söyleyecektir.

Bölüm 6: CeWL Kullanarak Hedeflenen Bir Kelime Listesi Oluşturma

CeWL (Özel Kelime Listesi Oluşturucu), bir hedef web sitesinden özel kelime listeleri oluşturan bir komut satırı aracıdır. Bu, web sitesi veya sosyal medya profili olan bir kuruluşun veya bireyin şifresini bulmak için de faydalı olabilir. Parola oluştururken insanlar sıklıkla kendileri veya kuruluşları hakkında bilgi kullandıklarından, özel sözcük listeleri çok etkili olabiliyor.

Aşağıdaki MD5 karma değerini bayemre.com üzerindeki bir veritabanından çıkardığınızı hayal edin:

cf4aff530715824c055892438a1ab6b2

Bir internet adresindeki kelimeleri kullanarak, karmaşayı çözüp çözemeyeceğinizi görmek için özel bir sözlük oluşturmak istiyorsunuz.

  1. bayemre.com ve ya istediğiniz bir web sitesi için CeWL kullanarak özel bir sözlük oluşturun:
    cewl -v -d 2 -m 5 -w custom_dict.txt https://neurosecurity.byu.edu Açıklama:
    • -v CeWL’yi ayrıntılı modda çalıştırır.
    • -d “örümcek” veya web sitesini taramanın derinliği
    • -m minimum kelime uzunluğu
    • -w custom_dict.txt yeni özel kelime listenizin veya sözlüğünüzün adıdır.Komutu tamamlamak için bir veya iki dakika verin.
  2. custom_dict.txtDosyada kaç giriş olduğunu kontrol edin :

    wc -l custom_dict.txt
  3. Şu kelimelere bakın custom_dict.txt:

    less custom_dict.txt
  4. custom_dict.txt“Best64” kuralını kullanarak kelime listesindeki kelimeleri kullanın ve çıktıyı custom_dict.txt(tümü bir satıra) ekleyin :

    hashcat custom_dict.txt -r /usr/share/hashcat/rules/best64.rule --stdout >> custom_dict.txt
  5. Custom_dict.txt dosyasında kaç giriş olduğunu şimdi kontrol edin:

    wc -l custom_dict.txt
  6. MD5 karma değerine karşı custom_dict kullanarak Hashcat’i çalıştırın (tümü bir satır):

    hashcat --force -a 0 -m 0 cf4aff530715824c055892438a1ab6b2 custom_dict.txt

    Burada modu -m 0belirtir md5ve -a“düz saldırı modunu” belirtir (zaten yaptığımız için kelime listesine izin vermeyin) Parola, çıktının tepesine doğru:
    hash:password biçiminde bildirilecektir . 
  7. Doğru şifreyi bulduğunuzu onaylayın:

    echo -n "<the plaintext password>" | md5sum

    -nBayrağı ekleriz çünkü aksi halde echokomutu yeni satır karakterini ekleyecektir, bu da karmaşayı kaldıracaktır.
Mission News Theme Compete Themes tarafından yapılmıştır.