Pogađanje lozinki (engl. password cracking) postupak je oporavka lozinki iz pohranjenih hasheva. Razlog može biti oporavak lozinke koju je korisnik zaboravio ili nedozvoljeno pridobivanje lozinki u maliciozne svrhe.

Kako se iz godine u godinu digitalizira sve više raznih dijelova naših života, tako raste i broj servisa i korisničkih računa koji sadrže (vrlo) osjetljive podatke, što osobe s lošim namjerama motivira za nedozvoljeno pridobivanje pristupa u svrhu prevare, krađe novca ili krađe identiteta čime raste i broj pokušaja prevare, tj. krađe. Postoje razni načini koje kriminalci mogu upotrijebiti u svrhu prevare, jedan od njih je pogađanje lozinki pomoću alata.

Najjednostavniji, ali i najneučinkovitiji i najsporiji pristup je ručno pogađanje lozinki gdje se pristup pokušava dobiti ručnim unosom lozinki za koje se misli da bi najvjerojatnije mogle odgovarati korisniku čijem se profilu pokušava pristupiti. To mogu biti najčešće korištene lozinke poput „password“, „123456789“, „lozinka123“, itd. ili lozinke temeljene na korisnikovim osobnim podatcima, npr. kombinacija imena, prezimena i godine rođenja ili ime kućnog ljubimca. Problem neučinkovitosti ovog pristupa razrješava se upotrebom alata, tj. automatizacijom.

Pogađanju se može pristupiti grubom silom (engl. brute force), tj. alat isprobava sve moguće kombinacije znakova (do) određene duljine dok ne pronađe točnu kombinaciju.

Jedna od varijacija pogađanja grubom silom je tzv. napad rječnikom (engl. dictionary attack). U ovom slučaju alat ne isprobava sve moguće kombinacije znakova, već isprobava sve postojeće riječi koje se nalaze na popisu (rječniku). „Riječi“ mogu primjerice biti lozinke koje su procurile u prethodnim napadima, a i riječi u doslovnom smislu.

Password spraying je također varijacija pogađanja grubom silom, no u ovom slučaju isprobava se samo jedna ili mali broj čestih ili „defaultnih“ lozinki nad velikim brojem korisničkih imena. Ovim postupkom izbjegava se blokiranje računa nakon većeg broja neuspjelih pokušaja prijave. [2]

Neki od često korištenih alata za pogađanje lozinki su sljedeći: Hashcat, John the Ripper, ophCrack, THC Hydra, Cain and Abel, Medusa.

Uobičajeni tok postavljanja alata je sljedeći: [3]

1. Pribaviti (ukrasti) hasheve
2. Organizirati i ispravno formatirati hasheve ovisno o alatu koji će se koristiti
3. Odabrati metodu napada: lista riječi, pravila, maske
4. Pogađanje lozinki
5. Analiza napretka
6. Prilagođavanje napada
7. Ponoviti prethodne korake

Za opis postupka automatizirane primjene alata za pogađanje lozinki koristit će se Hashcat.

[4]

[1] https://www.techtarget.com/searchsecurity/definition/password-cracker

[2] https://attack.mitre.org/techniques/T1110/003/

[3] https://delinea.com/blog/5-most-popular-password-cracking-tools-and-how-to-protect-your-enterprise

[4] alati_za_pogadanje_lozinki_i_njihova_automatizirana_primjena