来破解企业密码的 5 种最流行的密码破解工具，如果您正遭受破解电邮密码困惑也可以联系我们帮助！

密码。它们已经存在了这么多年，但关于它们仍然有很多值得说的。

在大多数组织中，密码是阻止黑客和成为网络攻击受害者的关键。对于众多组织的众多应用程序、系统和基础设施来说，防止未经授权的访问的唯一安全控制是长度在 4 到 127 个字符之间的简单密码。

密码（有时称为密码、口令、PIN 或秘密）用于确保只有授权员工或用户才能访问应用程序和系统。密码通常与标识符（通常是用户名或电子邮件地址）结合起来以确定谁正在访问系统，以验证该身份的真实性。密码应该只有用户知道，并且永远不要共享。

通常，密码是一组字符组合，例如字母、数字和符号，用于验证身份或验证访问系统或应用程序的授权。但并非所有登录系统都强制执行相同的安全最佳实践。不同的身份验证系统需要不同长度和复杂性的密码字符串，这提出了挑战。有些系统对密码长度设置了限制，有些系统对复杂性设置了限制，有些系统甚至要求全部小写字符。

另一种流行的登录方法是 PIN。这通常指纯数字密码，通常由 4 到 6 个数字组成，通常在移动设备上使用。作为最佳实践，您应该了解登录系统的限制，以便确保配置和使用尽可能高的安全性。并确保您的安全解决方案可用且不太复杂，否则用户将恢复不良的密码卫生习惯，例如跨多个系统和凭据重复使用密码.

大多数登录系统使用一种称为散列的加密技术将密码存储在数据库中，并且该散列应该是一种单向的算法。除了用户或系统之外，任何人都不应该知道明文密码。

过去最常用的哈希值是 SHA1，直到安全研究人员发现“冲突”；这是两个不同的输入创建相同的输出的情况。这不利于安全，并且意味着 SHA1 不能再用于存储密码。重要的是要知道使用什么哈希算法以及它是否还包括盐：添加到输入的附加随机数据。

那么，网络黑客如何破解您的密码以访问应用程序和系统？ 

大多数黑客会希望使用最简单、最隐秘且成本最低的方式来窃取您的密码。最简单的方法之一是网络钓鱼 – 他们只是要求您提供密码。这种技术利用了您的信任本性，当您被定向到虚假登录网站（看起来完全真实）时，您在登录时会将您的用户名和密码交给攻击者。以下是获取密码的一些最常见的技术：

1. 冒充真实的互联网服务向用户询问密码
2. 使用暴力破解或字典攻击破解密码
3. 发现应用程序中的漏洞，绕过身份验证

让我们仔细看看密码破解技术：

在黑客可以处理您的密码之前，他们必须首先获取哈希值，如前所述，哈希值是您密码的加密存储值。有一些工具可以获取这些哈希值：

• Mimikatz – 密码恢复和审核工具
• 捕获数据包 – Wireshark等工具可捕获网络中移动的数据包
• Metasploit Framework – 帮助安全专业人员评估和管理安全性的安全框架
• 响应程序 – LLMNR 和 NBT-NS（NetBIOS 名称服务）响应程序

典型的密码破解流程如下：

1. 窃取/获取哈希值
2. 根据工具组织和格式化哈希值
3. 规划你的攻击方法：词汇表、规则和掩码
4. 破解密码
5. 分析密码的进度
6. 定制你的攻击
7. 重复

5 种流行的密码破解工具

Kali Linux – 流行的渗透测试分发工具

Kali Linux 是一款著名的安全工具，它提供从虚拟映像到软件安装的许多不同的可启动选项。它甚至可以在 Raspberry Pi 上运行。它在世界各地被用于渗透测试，并被 IT 安全团队用来保护其网络或查找其网络上的漏洞。Kali 附带了多种开箱即用的流行密码攻击工具：

• 打嗝套件
• 西华
• 哈希猫
• THC-九头蛇
• 开膛手约翰
• 盒
• 统计处理器

CeWL –自定义单词列表生成器

CeWL 是我最喜欢的单词列表生成器之一。它允许您通过抓取网站来创建单词列表。

使用 CeWL 时，我从如下基本命令开始：

命令行选项是：

-h = 帮助
-d = 蜘蛛站点深度
-m = 最小字长
-w = 输出文件
-e = 包含电子邮件

Mimikatz –安全审计工具 

Mimikatz 是另一种流行的安全审计工具，用于从内存中提取明文密码、哈希值、PIN 码和 Kerberos 票证。它主要用于在网络中横向移动，一次一步地提升权限。

Hashcat – hashcat 是世界上最快、最先进的密码恢复实用程序

Hashcat 是最常用于执行不同攻击模式的工具，例如直接攻击、组合攻击、暴力攻击和混合攻击。

Hashcat攻击模式选项：

hashcat 命令示例：

命令行选项：

-m = 哈希类型（0 = MD5、100 = Sha1、1000 = NTLM）
-a = 攻击模式

  0 | 直
1 | 组合
3 | 暴力破解
6 | 混合单词表 + 掩码
7 | 混合蒙版 + 单词表

Pipal 密码分析器

当您破解密码或分析密码转储时，理解密码的一个好方法是使用密码分析器对其进行分析。有几种优秀的工具，但 Pipal 是我最喜欢的工具之一。它非常简单，但功能强大。

您所需要做的就是针对密码文件运行 Pipal ruby​​。在以下示例中，我使用“rockyou”密码文件：

Pipal 密码分析器的输出示例：

概括

这些只是一些可用的顶级密码破解工具，正如您所看到的，密码可以轻松破解。因此，重要的是要让网络黑客的任务尽可能困难，并确保对于关键系统和应用程序来说，密码不是保护环境的唯一安全控制措施。

您将面临的主要问题之一是最终用户负责创建和维护他们使用的密码。选择可用的安全解决方案，让他们更轻松。 

由于用户经常需要管理 30 个或更多不同的用户帐户和凭据，因此几乎可以肯定他们会重复使用密码或使用同一密码的某些变体。这意味着一旦攻击者泄露了一个密码，他们猜出其他密码只是时间问题，并且使用 Hashcat 等工具以及良好的单词列表和规则 — 这不会花费很长时间！

确保密码不是保护您环境的唯一安全控制措施

我们必须教育最终用户并为他们提供正确的工具，这样他们就不会出现不良的安全状况。让安全变得可用、简单，让用户筑起更坚固的前线防御。

最后，这是我的10 条安全提示，可帮助用户保护自己、家人以及他们工作的公司。安全从家里开始。用户必须在工作场所之外接受教育并获得授权。

降低密码风险的 10 个安全提示

1. 使用强密码
2. 不使用系统时注销系统
3. 不要重复使用密码
4. 使用密码管理器
5. 如果密码也很复杂，则密码越长越好
6. 轮换密码
7. 使用多重身份验证，或至少 2FA
8. 审计活动
9. 不要害怕寻求建议
10. 对于企业来说，熟悉企业密码管理，并使用特权访问管理 (PAM)产品