Łamacze haseł - gratka dla zapominalskich

Przedstawione aplikacje służą przede wszystkim jako pomoc dla osób, które zapomniały hasła dostępu. Jednak programy te mogą również posłużyć za narzędzie włamania do chronionych obszarów, dlatego ostrzegamy, że zanim zechcecie poczytać pocztę Kowalskiego, zastanówcie się, czy sok jest wart wyciśnięcia. Jeżeli nie jesteśmy w stanie ponieść konsekwencji, a jest to jawne łamanie prawa, nawet nie próbujcie się gdziekolwiek włamywać!

Posiadacze komputerów z dostępem do internetu już od pierwszych tygodni przebywania w sieci spotkają się z powszechną zmorą - koniecznością zapamiętywania coraz większej ilości haseł - do serwera FTP, komunikatora czy też zabezpieczenia niektórych plików. Jakby tego było mało, specjaliści ds. bezpieczeństwa radzą, aby danego hasła używać tylko w jednym miejscu, było one trudne do zapamiętania oraz składało się z liter i cyfr. Tym sposobem tworzymy oryginalne wyrazy, a naszą pamięć poddajemy niemal dziennym testom. Niestety, dzień, w którym zapomnimy choć jednego hasła, jest nieunikniony...

Sporo haseł można odzyskać lub nawet obejść, a czynność ta, wbrew pozorom, wcale nie jest taka trudna. Programy, o których napiszemy w następnych akapitach pokażą wam, jak słabe i nieskuteczne mogą być niektóre zabezpieczenia, składające się z tajemniczych gwiazdek *. Już teraz informujemy, że czasem trzeba będzie poczekać dłuższą chwilę, zanim zgubione hasło zostanie nam "przypomniane", jednak warto to zrobić, poświęcając ten czas na chociażby obejrzenie dobrego filmu. Bardzo dużo zależy od długości danego hasła i jego skomplikowania (użycia małych i wielkich liter, znaków specjalnych itp.).

Łamiemy hasło dla pliku skompresowanego

Codziennie wykorzystujemy programy do kompresowania plików i nierzadko zdarza się nam zabezpieczyć niektóre z nich hasłem. Aby wydobyć ważne dokumenty, które umieściliśmy w zabezpieczonym skompresowanym pliku, polecamy skorzystać z narzędzia Advanced Archive Password Recovery 3.01. Proces odzyskiwania hasła może być bardzo czasochłonny, lecz rezultat z pewnością nas ucieszy. Aplikacja obsługuje pliki zaszyfrowane formatami ZIP, ACE, ARJ oraz RAR.

Advanced Archive Password Recovery korzysta z kilku metod łamania haseł. Największym pożeraczem czasowym jest "atak siłowy", gdzie wypróbowywane są po kolei wszystkie możliwe kombinacje, aż do momentu, kiedy znaleziony zostanie właściwy ciąg znaków - w sekundę program sprawdza ok. 30 milionów wariantów haseł do archiwów ZIP na procesorze z zegarem o częstotliwości 2.0 GHz.

Bardzo przyjazną opcją jest zawężenie testowania. Możemy ustalić, że hasło składa się tylko z samych liter lub cyfr, a także określić maksymalną liczbę znaków. Co więcej, aplikacja oferuje też znacznie szybszą metodę słownikową, która polega na testowaniu popularnych wyrazów, np. imion. I tak, plik zabezpieczony hasłem "Tomek" zostanie rozszyfrowany w kilka minut. - Potraktujcie to zdanie jako przestrogę dla leniwych użytkowników, którzy wymyślają proste do odgadnięcia hasła. Najtrudniej złamać długie zabezpieczenia składające się z liter, cyfr i znaków specjalnych.

Darmowa wersja (demonstracyjna) umożliwia łamanie haseł, które składają się z nie więcej niż pięciu znaków.

Hasło z internetu

Gdy hasło dostępu do serwera POP3 z poczty e-mail, serwera FTP lub WWW zastąpimy w pamięci wspomnieniami z ubiegłej randki, z pomocą przyjdzie nam program Brutus AET2. Jest to narzędzie, które zalicza się do najszybszych i zarazem najpopularniejszych - potrafi nawiązać do sześćdziesięciu jednoczesnych połączeń!

Brutus AET2 przydaje się też w przypadku, kiedy chcemy uzyskać dostęp do różnych usług internetowych, do których dostęp uzyskuje się po wpisaniu hasła w oknie dialogowym lub specjalnym formularzu internetowym. Wtedy jednak wymagana jest dodatkowa konfiguracja, gdyż prawie każdy formularz jest inaczej skonstruowany. Aplikacja do łamania haseł wykorzystuje metodę "siłową", sprawdzając po kolei wszystkie możliwe kombinacje znaków. Możliwy jest także atak słownikowy - wówczas pobierane są najbardziej prawdopodobne hasła z pliku tekstowego. Gotowe do wykorzystania pliki słownikowe znajdziecie w internecie na wielu stronach WWW.

Dokumenty pakietu Office - nie łam się, przełam się

Jeżeli zabezpieczymy dostęp do jednego z dokumentów pakietu Microsoft Office, cały plik zostanie zaszyfrowany. Efekt jest taki, że nie będzie można dowiedzieć się, jaka jest zawartość danego pliku, nawet w postaci binarnej. Oczywiście i w tym wypadku znajdziemy odpowiednie narzędzia, które umożliwią nam odczytanie wiadomości z używanej wersji Office'a.

Zakładając, że niektórzy używają jeszcze Office'a 97, przygotowaliśmy programy mogące sobie poradzić ze złamaniem hasła właśnie od tej edycji pakietu giganta z Redmond. Bardzo dobrą aplikacją jest Word Password v9.0.5352, która stosuje znany nam już czasochłonny atak siłowy oraz słownikowy. W przypadku ciągów dłuższych niż pięć znaków, łamanie hasła może trwać nawet tygodniami, dlatego producent oferuje nietypową usługę - przesyłamy mu zabezpieczony plik, a on sam, korzystając z superszybkiego komputera, łamie hasło przy użyciu ataku siłowego. Wersja demonstracyjna potrafi uzyskać dostęp do pliku zabezpieczonego maks. trzema znakami.

Na stronie znajdziemy także inne programy, dedykowane poszczególnym aplikacją Office'a, min. Excel Password I Outlook Password.

Modem nam nie straszny

Użytkownicy Windows XP, którzy łączą się z internetem za pomocą modemu, mają do zapamiętania o jedno hasło więcej - dial-up. Aby odzyskać stracone hasło, polecamy skorzystać z darmowego programu Dialupass v2.43. Dawniej wystarczyło, że skorzystaliśmy z programu wyświetlającego hasła ukryte pod symbolami gwiazdek. Do tej pory Microsoft zdołał opracować nową, bezpieczniejszą metodę - teraz po zaznaczeniu w oknie połączenia internetowego opcji zapamiętania hasła, Windows XP zamiast gwiazdek wyświetla charakterystyczne zdanie: "Kliknij tu, aby zmienić hasło". Dialupass po uruchomieniu pokaże nam na ekranie monitora specjalną tabelkę, która zawiera informacje o wszystkich połączeniach typu dial-up stosowanych przez aktualnie zalogowanego użytkownika. Tam właśnie znajdziemy nasze hasła, z kolei jeśli będziemy chcieli podejrzeć tajemne ciągi znaków pozostałych osób korzystających z komputera, wystarczy, że włączymy opcję File -> Select Another User.

Aby wygodniej pracować z programem, można przestawić kolejność kolumn i zapisać wyniki w pliku tekstowym bądź HTML. Niestety aplikacja zadziała tylko wtedy, gdy nasze konto w komputerze ma uprawnienia administratora. Jest to ograniczenie, które ma sprawić, iż Dialupass okaże się mało przydatny hakerom - mogą wykorzystać program tylko wtedy, gdy zostawimy włączony komputer bez jakiegokolwiek nadzoru.

Hasło do... Windows

Niestety, czasem może nam się przydarzyć bardzo beznadziejna sytuacja (gdy randka okaże się nad wyraz udana - red.) i zapomnimy hasła do samego systemu operacyjnego. Jednak nie panikujmy, nie trzeba będzie reinstalować OS-u. Z pomocą przyjdzie nam Offline NT Password & Registry Editor, który działa z Linuksem i potrafi w pełni odczytać partycje NTFS. Twórca tego narzędzia przygotował nawet minidystrybucję Linuksa i udostępnił ją w postaci pliku obrazu - trzeba go zapisać na dyskietce, wspomagając się przy tym aplikacją Rawwrite. Postępując zgodnie z naszymi wskazówkami, otrzymacie dyskietkę startową, dzięki której uruchomimy specjalną wersję Linuksa, zajmującą się wyszukaniem na dysku partycji Windows.

Kiedy na ekranie ujrzymy menu główne, uruchamiamy opcję Edit user data and passwords. Przed naszymi oczami pojawi się lista, z której musimy wybrać swoje konto użytkownika Windows. Tutaj pozostaje nam wprowadzić nowe hasło i wpisać "*", aby wykasować dotychczasowe.

Niestety, tą samą drogą mogą dotrzeć do danych zapisanych w naszym komputerze osoby niepowołane, które koniecznie chcą przejrzeć zawartość naszego dysku lub najzwyczajniej zrobić nam na złość i zmienić hasło dostępu.

Wygaś hasło wygaszacza

Bardzo sprytnym posunięciem jest ustawienie hasła w wygaszaczu ekranu. Wystarczy, że odejdziemy od komputera na 2 minuty, a już ktoś może dobrać się do naszych plików i skutecznie skasować lub wykraść niektóre dane. Niestety możemy spotkać się z sytuacją, gdzie sami sobie ustawimy tego rodzaju hasło, a wtedy ochronimy się przed włamaniem do... własnych danych.

Aby ominąć to zabezpieczenie wystarczy, że będziemy mieli na dysku program Proactive System Password Recovery 4.91. Jest to aplikacja, która po prostu odczyta hasło, zanim wygaszacz się włączy.

Hasło dla BIOS-u

W BIOS-ach płyt głównych da się ustawić dwa różne hasła. Pierwsze z nich służy do ochrony dostępu do samego BIOS-u, drugie zajmuje się zabezpieczeniem zarówno BIOS-u, jak i systemu operacyjnego.

W przypadku utraty hasła do samego Basic Input/Output System, można, jak wiemy, bez przeszkód korzystać z komputera, jednak nie będziemy mieli możliwości konfigurowania ustawień BIOS-u. Hasło ustawione w BIOS-sie desktopów nie jest trudną do ominięcia przeszkodą. Wystarczy odłączyć komputer od prądu, wyjąć baterię z płyty głównej, po czym włożyć ją i uruchomić peceta. Nasz BIOS "zapomni" wszystkie ustawienia, dzięki czemu nie będzie już zabezpieczony hasłem.

Inną metodą jest tzw. miękki reset BIOS-u. Polega on na skorzystaniu ze specjalnej zworki, która pozwala opróżnić pamięć CMOS, w tym zapisanego w niej hasła do BIOS-u. W instrukcjach do płyt głównych jest ona oznaczona jako "Clear CMOS", "Clear RTC" itp. Rezultat jest ten sam, jak po wyjęciu baterii - po prostu to rozwiązanie jest wygodniejsze.

Jeżeli jesteśmy szczęśliwymi posiadaczami notebooka, hasło bardzo często znajduje się w układzie Flash-ROM - jest on odporny na brak zasilania. W komputerach przenośnych nie spotkamy się też ze zworką do czyszczenia pamięci CMOS. Jak zatem odzyskać zapomniane hasło? Cóż, niestety w tym wypadku pozostaje jedynie kontakt z producentem.

Odgadujemy gwiazdozbiory

Dużo programów oferuje opcję zapamiętywania hasła, które zostaje zaszyfrowane i zapisane na twardym dysku. Z takiej metody korzystają min. przeglądarki internetowe. Zapamiętane hasła pojawiają się automatycznie w odpowiednim polu podczas logowania w postaci gwiazdek. Jest to naprawdę wygodne rozwiązanie, jednak naraża nas na niebezpieczeństwo związane z wykradnięciem "kodu dostępu". Już teraz proponujemy, aby nie korzystać z tej funkcji, zwłaszcza, że pewnego dnia sami możemy zapomnieć naszego hasła, ponieważ wygląda przecież jak nic nie mówiące gwiazdki.

Skoro wspomniane gwiazdki są automatycznie wyświetlane na ekranie monitora, muszą być przechowywane gdzieś na dysku twardym. Dzięki niemieckiemu programowi Password-Finder 2.1 rozszyfrujemy "gwiazdozbiór". Jest to rzadko spotykana aplikacja, głównie ze względu na to, że obsługuje system Windows 2000/XP, gdzie zastosowano inną metodę maskowania haseł.

Gdy włączy się program, wystarczy, że przeciągniemy ikonę lupy (prawa część okna aplikacji) w kierunku pola z hasłem zamaskowanym gwiazdkami. W efekcie, pod lupą zamiast gwiazdek, ujrzymy właściwe hasło.

Spraw sobie idealne hasło

Prawie zawsze na straży naszych tajemnic ostatecznie stoi hasło. Jakby nie patrzeć, jest to najistotniejszy element naszej prywatności; ostatni kawałek układanki. Jakie powinno być hasło doskonałe? Trudne do złamania, rzecz jasna. Przedstawiamy nasz sposób na przygotowanie dobrego hasła.

Tworząc hasło, nie polecamy:

- używać imion, zwłaszcza swojego bądź członków rodziny

- wykorzystać danych osobowych, np. daty urodzin

- używać tego samego hasła w wielu miejscach.

Tworząc hasło, polecamy:

- wpisywać małe i wielkie litery

- używać oprócz liter również cyfr i znaków specjalnych, np. #,^,!

- stosować dłuższe hasła

- stosować przypadkowe ciągi znaków, np. J#,,3%1

- często je zmieniać, np. co dwa tygodnie.