«برامج تجريب كلمات السرّ Password Testing Software»: الفرق بين المراجعتين

من SalamaTech Wiki سلامتك ويكي
اذهب إلى: تصفح، ابحث
[مراجعة منقحة][مراجعة منقحة]
ط
ط (مقدمة)
سطر 4: سطر 4:
  
 
تشبه هذه البرامج [[برامج كشف كلمات السرّ Passwords Cracking Software]]في أنها تقوم بإنشاء تراكيب من كلمات السرّ، وفي أنها أيضا تعتمد على القواميس Dictionaries. لكنها تختلف عن برامج كشف كلمات السرّ في أنها لا تحاول استخدام كلمات السرّ لتوليد الهاش Hash ومقارنته بالهاش الخاص بكلمة السرّ المُراد كشفها. وإنما تقوم هذه البرامج بطلب تسجيل الدخول إلى موقع أو خدمة ما. فإنْ قُوبِلَ طلب تسجيل الدخول بالرفض، يقوم البرنامج بمحاولة تسجيل الدخول بكلمة سرّ مختلفة حسب قاعدة توليد كلمات السرّ المستخدمة في الهجوم، وهكذا حتى يصادف طلب تسجيل الدخول النجاح.
 
تشبه هذه البرامج [[برامج كشف كلمات السرّ Passwords Cracking Software]]في أنها تقوم بإنشاء تراكيب من كلمات السرّ، وفي أنها أيضا تعتمد على القواميس Dictionaries. لكنها تختلف عن برامج كشف كلمات السرّ في أنها لا تحاول استخدام كلمات السرّ لتوليد الهاش Hash ومقارنته بالهاش الخاص بكلمة السرّ المُراد كشفها. وإنما تقوم هذه البرامج بطلب تسجيل الدخول إلى موقع أو خدمة ما. فإنْ قُوبِلَ طلب تسجيل الدخول بالرفض، يقوم البرنامج بمحاولة تسجيل الدخول بكلمة سرّ مختلفة حسب قاعدة توليد كلمات السرّ المستخدمة في الهجوم، وهكذا حتى يصادف طلب تسجيل الدخول النجاح.
 +
 +
لهذه البرامج استخدام حميد وهو استعادة كلمات السرّ في حال نسيانها، وفحص مستوى أمان كلمات السرّ لخدمة ما على الإنترنت بعد الاتفاق مع الجهة وراء الخدمة، وبمعرفتها. وبالطبع لأي أداة استخدامات خبيثة تعتبر عادة من الجرائم الإلكترونية وتعاقب عليها القوانين في أغلب دول العالم، كاختراق حسابات المستخدمين على مواقع الإنترنت، واختراق حسابات مدراء صفحات ومواقع الإنترنت.
  
 
بالطبع تقوم مواقع وخدمات الإنترنت بالتصدي لهذه الهجمات بأساليب مختلفة، من بينها:
 
بالطبع تقوم مواقع وخدمات الإنترنت بالتصدي لهذه الهجمات بأساليب مختلفة، من بينها:
 
+
* عبر استخدام تقنيات التحليل الجنائي الرقمي Digital Forensics التي تمكّن المواقع من تحديد مصدر الهجمات بهدف ملاحقتهم قضائيا. ما يشكل رادعا قويا خاصة في الدولة حيث تسود سلطة القانون.
 
* منع الطلبات الصادرة عن عنوان IP محدد لفترة زمنية محددة بعد تكرار فشل تسجيل الدخول، فذلك يدل على محاولة خبيثة لتسجيل الدخول ربما باستخدام هذه البرنامج. من بين البرامج التي تقوم بهذه المهمة برنامج fail2ban على نظام التشغيل [[لينوكس Linux]].
 
* منع الطلبات الصادرة عن عنوان IP محدد لفترة زمنية محددة بعد تكرار فشل تسجيل الدخول، فذلك يدل على محاولة خبيثة لتسجيل الدخول ربما باستخدام هذه البرنامج. من بين البرامج التي تقوم بهذه المهمة برنامج fail2ban على نظام التشغيل [[لينوكس Linux]].
* استخدام [[الكاپتشا CAPCHA]] وهي طريقة لمنع الأنظمة المؤتمتة (غير الواعية) من إرسال طلبات مؤتمة لخدمة ما على الإنترنت. فإن تكررت محاولة برامج كشف كلمات السرّ لتسجيل الدخول باستخدام اسم المستخدم نفسه مثلا في كل محاولة، يقوم الموقع بإضافة خانة [[الكاپتشا CAPCHA]] إلى صفحة تسجيل الدخول، ما يعني منع البرامج المؤتمتة (غير الواعية) من إمكانية متابعة تسجيل الدخول.
+
* استخدام [[الكاپتشا CAPCHA]] وهي طريقة لمنع الأنظمة المؤتمتة (غير الواعية) من إرسال طلبات مؤتمة لخدمة ما على الإنترنت. فإن تكررت محاولة برامج كشف كلمات السرّ لتسجيل الدخول باستخدام اسم المستخدم نفسه مثلا في كل محاولة، يقوم الموقع بإضافة خانة [[الكاپتشا CAPCHA]] إلى صفحة تسجيل الدخول، ما يعني منع البرامج المؤتمتة (غير الواعية) من إمكانية متابعة تسجيل الدخول
  
 
وفيما يلي أمثلة عن أشهر هذه البرامج:
 
وفيما يلي أمثلة عن أشهر هذه البرامج:

مراجعة 10:01، 11 فبراير 2020

مقدمة

برامج تجريب كلمات السرّ Password Testing Software هي برامج طُوِّرَت بهدف كشفِ كلمة سرّ Password لحساب ما على منصة ما عبر محاولة تسجيل الدخول مرارا باستخدام اسم مستخدم مَعْلوم وكلمة سرّ يحضرها البرنامج مع كل محاولة فاشلة حتى تنجح عملية تسجيل الدخول وتكون كلمة السرّ تلك التي انتجها البرنامج مع المحاولة الناجحة.

تشبه هذه البرامج برامج كشف كلمات السرّ Passwords Cracking Softwareفي أنها تقوم بإنشاء تراكيب من كلمات السرّ، وفي أنها أيضا تعتمد على القواميس Dictionaries. لكنها تختلف عن برامج كشف كلمات السرّ في أنها لا تحاول استخدام كلمات السرّ لتوليد الهاش Hash ومقارنته بالهاش الخاص بكلمة السرّ المُراد كشفها. وإنما تقوم هذه البرامج بطلب تسجيل الدخول إلى موقع أو خدمة ما. فإنْ قُوبِلَ طلب تسجيل الدخول بالرفض، يقوم البرنامج بمحاولة تسجيل الدخول بكلمة سرّ مختلفة حسب قاعدة توليد كلمات السرّ المستخدمة في الهجوم، وهكذا حتى يصادف طلب تسجيل الدخول النجاح.

لهذه البرامج استخدام حميد وهو استعادة كلمات السرّ في حال نسيانها، وفحص مستوى أمان كلمات السرّ لخدمة ما على الإنترنت بعد الاتفاق مع الجهة وراء الخدمة، وبمعرفتها. وبالطبع لأي أداة استخدامات خبيثة تعتبر عادة من الجرائم الإلكترونية وتعاقب عليها القوانين في أغلب دول العالم، كاختراق حسابات المستخدمين على مواقع الإنترنت، واختراق حسابات مدراء صفحات ومواقع الإنترنت.

بالطبع تقوم مواقع وخدمات الإنترنت بالتصدي لهذه الهجمات بأساليب مختلفة، من بينها:

  • عبر استخدام تقنيات التحليل الجنائي الرقمي Digital Forensics التي تمكّن المواقع من تحديد مصدر الهجمات بهدف ملاحقتهم قضائيا. ما يشكل رادعا قويا خاصة في الدولة حيث تسود سلطة القانون.
  • منع الطلبات الصادرة عن عنوان IP محدد لفترة زمنية محددة بعد تكرار فشل تسجيل الدخول، فذلك يدل على محاولة خبيثة لتسجيل الدخول ربما باستخدام هذه البرنامج. من بين البرامج التي تقوم بهذه المهمة برنامج fail2ban على نظام التشغيل لينوكس Linux.
  • استخدام الكاپتشا CAPCHA وهي طريقة لمنع الأنظمة المؤتمتة (غير الواعية) من إرسال طلبات مؤتمة لخدمة ما على الإنترنت. فإن تكررت محاولة برامج كشف كلمات السرّ لتسجيل الدخول باستخدام اسم المستخدم نفسه مثلا في كل محاولة، يقوم الموقع بإضافة خانة الكاپتشا CAPCHA إلى صفحة تسجيل الدخول، ما يعني منع البرامج المؤتمتة (غير الواعية) من إمكانية متابعة تسجيل الدخول

وفيما يلي أمثلة عن أشهر هذه البرامج:

Brutus

https://sectools.org/tool/brutus/

WFuzz

https://wfuzz.readthedocs.io/en/latest/

THC HYDRA

https://github.com/vanhauser-thc/thc-hydra

MEDUSA

http://foofus.net/goons/jmk/medusa/medusa.html


تنقّل في الكتيب eBook Navigation

الهجمات على كلمات السرّ

الهجمات الالكترونية الخبيثة Malicious Cyber Attacks

الفهرس Index

الفهرس الكامل Full Index

اقرأ أيضا See Also

كلمات السرّ Passwords

تخمين كلمات السرّ Passwords Guessing

الهجوم الأعمى Brute Force Attack

هجوم القاموس Dictionary Attack

اصطياد كلمات السرّ Passwords Phishing

تسجيل نقرات المفاتيح Keystroke Logging

تسرب البيانات Data Breaches

برامج كشف كلمات السرّ Password Cracking Software

مراجع References