«برامج تجريب كلمات السرّ Password Testing Software»: الفرق بين المراجعتين

من SalamaTech Wiki سلامتك ويكي
اذهب إلى: تصفح، ابحث
[مراجعة منقحة][مراجعة منقحة]
ط
ط
سطر 1: سطر 1:
{{:template:Under Construction}}
 
 
==مقدمة==
 
==مقدمة==
 
<onlyinclude>
 
<onlyinclude>
{{:template:Paragraph Under Construction}}
+
[[برامج تجريب كلمات السرّ Password Testing Software]] هي برامج طُوِّرَت بهدف كشفِ [[كلمة سرّ Password]] لحساب ما على منصة ما عبر محاولة تسجيل الدخول مرارا باستخدام اسم مستخدم مَعْلوم وكلمة سرّ يحضرها البرنامج مع كل محاولة فاشلة حتى تنجح عملية تسجيل الدخول وتكون كلمة السرّ تلك التي انتجها البرنامج مع المحاولة الناجحة.
 +
 
 +
تشبه هذه البرامج [[برامج كشف كلمات السرّ Passwords Cracking Software]]في أنها تقوم بإنشاء تراكيب من كلمات السرّ، وفي أنها أيضا تعتمد على القواميس Dictionaries. لكنها تختلف عن برامج كشف كلمات السرّ في أنها لا تحاول استخدام كلمات السرّ لتوليد الهاش Hash ومقارنته بالهاش الخاص بكلمة السرّ المُراد كشفها. وإنما تقوم هذه البرامج بطلب تسجيل الدخول إلى موقع أو خدمة ما. فإنْ قُوبِلَ طلب تسجيل الدخول بالرفض، يقوم البرنامج بمحاولة تسجيل الدخول بكلمة سرّ مختلفة حسب قاعدة توليد كلمات السرّ المستخدمة في الهجوم، وهكذا حتى يصادف طلب تسجيل الدخول النجاح.
 +
 
 +
بالطبع تقوم مواقع وخدمات الإنترنت بالتصدي لهذه الهجمات بأساليب مختلفة، من بينها:
 +
 
 +
* منع الطلبات الصادرة عن عنوان IP محدد لفترة زمنية محددة بعد تكرار فشل تسجيل الدخول، فذلك يدل على محاولة خبيثة لتسجيل الدخول ربما باستخدام هذه البرنامج. من بين البرامج التي تقوم بهذه المهمة برنامج fail2ban على نظام التشغيل [[لينوكس Linux]].
 +
* استخدام [[الكاپتشا CAPCHA]] وهي طريقة لمنع الأنظمة المؤتمتة (غير الواعية) من إرسال طلبات مؤتمة لخدمة ما على الإنترنت. فإن تكررت محاولة برامج كشف كلمات السرّ لتسجيل الدخول باستخدام اسم المستخدم نفسه مثلا في كل محاولة، يقوم الموقع بإضافة خانة [[الكاپتشا CAPCHA]] إلى صفحة تسجيل الدخول، ما يعني منع البرامج المؤتمتة (غير الواعية) من إمكانية متابعة تسجيل الدخول.
 +
 
 +
وفيما يلي أمثلة عن أشهر هذه البرامج:
 +
{{{1|=}}}===Brutus==={{{1|=}}}
 +
It is one of the most popular remote password cracking tool. According to its developers’ opinion, Brutus is the most qualitative and effective tool for guessing a correct password.
 +
 
 +
This product is completely free and is only available for Windows OS. As an aside, the first release of this product was in 2000.
 +
 
 +
The program supports:
 +
 
 +
HTTP (basic authentication);
 +
HTTP (HTML form/CGI);
 +
POP3;
 +
FTP;
 +
SMB;
 +
Telnet and other types (for example, IMAP, NNTP).
 +
Brutus
 +
Brutus
 +
 
 +
Also, the product’s functionality allows a user to create necessary types of authentication. Its productivity was developed for 60 simultaneous requests.
 +
 
 +
Brutus has a resume and load options. In other words, you can stop the attack or postpone it. Despite the fact that this product hasn’t been updated for a long period it is still considered as an effective and useful tool for password strength testing.
 +
 
 +
{{{1|=}}}===WFuzz==={{{1|=}}}
 +
 
 +
[https://wfuzz.readthedocs.io/en/latest/ https://wfuzz.readthedocs.io/en/latest/]
 +
{{{1|=}}}=== THC HYDRA==={{{1|=}}}
 +
[https://github.com/vanhauser-thc/thc-hydra https://github.com/vanhauser-thc/thc-hydra]
 +
{{{1|=}}}=== MEDUSA==={{{1|=}}}
 +
[http://foofus.net/goons/jmk/medusa/medusa.html http://foofus.net/goons/jmk/medusa/medusa.html]
 +
 
 
</onlyinclude>
 
</onlyinclude>
  

مراجعة 09:44، 11 فبراير 2020

مقدمة

برامج تجريب كلمات السرّ Password Testing Software هي برامج طُوِّرَت بهدف كشفِ كلمة سرّ Password لحساب ما على منصة ما عبر محاولة تسجيل الدخول مرارا باستخدام اسم مستخدم مَعْلوم وكلمة سرّ يحضرها البرنامج مع كل محاولة فاشلة حتى تنجح عملية تسجيل الدخول وتكون كلمة السرّ تلك التي انتجها البرنامج مع المحاولة الناجحة.

تشبه هذه البرامج برامج كشف كلمات السرّ Passwords Cracking Softwareفي أنها تقوم بإنشاء تراكيب من كلمات السرّ، وفي أنها أيضا تعتمد على القواميس Dictionaries. لكنها تختلف عن برامج كشف كلمات السرّ في أنها لا تحاول استخدام كلمات السرّ لتوليد الهاش Hash ومقارنته بالهاش الخاص بكلمة السرّ المُراد كشفها. وإنما تقوم هذه البرامج بطلب تسجيل الدخول إلى موقع أو خدمة ما. فإنْ قُوبِلَ طلب تسجيل الدخول بالرفض، يقوم البرنامج بمحاولة تسجيل الدخول بكلمة سرّ مختلفة حسب قاعدة توليد كلمات السرّ المستخدمة في الهجوم، وهكذا حتى يصادف طلب تسجيل الدخول النجاح.

بالطبع تقوم مواقع وخدمات الإنترنت بالتصدي لهذه الهجمات بأساليب مختلفة، من بينها:

  • منع الطلبات الصادرة عن عنوان IP محدد لفترة زمنية محددة بعد تكرار فشل تسجيل الدخول، فذلك يدل على محاولة خبيثة لتسجيل الدخول ربما باستخدام هذه البرنامج. من بين البرامج التي تقوم بهذه المهمة برنامج fail2ban على نظام التشغيل لينوكس Linux.
  • استخدام الكاپتشا CAPCHA وهي طريقة لمنع الأنظمة المؤتمتة (غير الواعية) من إرسال طلبات مؤتمة لخدمة ما على الإنترنت. فإن تكررت محاولة برامج كشف كلمات السرّ لتسجيل الدخول باستخدام اسم المستخدم نفسه مثلا في كل محاولة، يقوم الموقع بإضافة خانة الكاپتشا CAPCHA إلى صفحة تسجيل الدخول، ما يعني منع البرامج المؤتمتة (غير الواعية) من إمكانية متابعة تسجيل الدخول.

وفيما يلي أمثلة عن أشهر هذه البرامج:

Brutus

It is one of the most popular remote password cracking tool. According to its developers’ opinion, Brutus is the most qualitative and effective tool for guessing a correct password.

This product is completely free and is only available for Windows OS. As an aside, the first release of this product was in 2000.

The program supports:

HTTP (basic authentication); HTTP (HTML form/CGI); POP3; FTP; SMB; Telnet and other types (for example, IMAP, NNTP). Brutus Brutus

Also, the product’s functionality allows a user to create necessary types of authentication. Its productivity was developed for 60 simultaneous requests.

Brutus has a resume and load options. In other words, you can stop the attack or postpone it. Despite the fact that this product hasn’t been updated for a long period it is still considered as an effective and useful tool for password strength testing.

WFuzz

https://wfuzz.readthedocs.io/en/latest/

THC HYDRA

https://github.com/vanhauser-thc/thc-hydra

MEDUSA

http://foofus.net/goons/jmk/medusa/medusa.html


تنقّل في الكتيب eBook Navigation

الهجمات على كلمات السرّ

الهجمات الالكترونية الخبيثة Malicious Cyber Attacks

الفهرس Index

الفهرس الكامل Full Index

اقرأ أيضا See Also

كلمات السرّ Passwords

تخمين كلمات السرّ Passwords Guessing

الهجوم الأعمى Brute Force Attack

هجوم القاموس Dictionary Attack

اصطياد كلمات السرّ Passwords Phishing

تسجيل نقرات المفاتيح Keystroke Logging

تسرب البيانات Data Breaches

برامج كشف كلمات السرّ Password Cracking Software

مراجع References