[실기] 1.1 Windows 기본 학습 - (4) 패스워드 크래킹

실습 툴 : Cain&Abel (www.filehorse.com/download-cain-and-abel/)

 

실습 환경 : VirtualBox 또는 VMware 에서 Windows7 os 설치 후 실행

 

실습 미실시. 추후에 실습 진행 예정

 

 

 1. 사전공격 / 사전 대입 공격 ( Dictionary Attack )  

 공격 방법 : 

 

• 자주 사용되는 사전 단어, 키보드 자판의 나열, 주민등록번호, 이름 등을 미리 Dictionary File로 만든 후, 이를 토대로 하나씩 대입하여 패스워드 일치 여부를 확인

 

 2. 무차별 공격 / 무작위 대입 공격 ( Brute Force Attack ) 

 공격 방법 : 

 

• 패스워드에 사용될 가능성이 있는 문자열 범위(ex: A-Z, a-z, 0-9)를 정한 후 그 범위 내에서 생성 가능한 모든 패스워드를 하나씩 대입하여 패스워드 일치 여부 확인
• 보통 Dictionary Attack 실패 후 진행

 

 3. 혼합 공격 ( Hybrid Attack ) 

 사전 공격 + 무차별 공격 

 공격 방법 : 

 

• Dictionary File에 있는 문자열에 문자, 숫자 등을 추가로 무작위 대입하여 패스워드 일치 여부 확인
• password1234, passwd1111 등과 같은 형태의 패스워드가 많이 사용되는 점을 악용

 

 4. 레인보우 테이블 ( Rainbow Table ) 을 이용한 공격 

 레인보우 테이블 : 

 

• 하나의 패스워드에서 시작하여 특정 변이 함수를 이용하여 변이된 형태의 패스워드 다수 생성
• 각 변이된 패스워드의 해시를 고리처럼 연결
• 일정 갯수의 패스워드와 해시값으로 이루어진 Chain을 다수 만들어 놓은 테이블

 공격 방법 : 

 

• 해시 테이블과 R함수(Reduction 함수)를 반복적으로 수행하여 일치하는 해시값을 찾아내어 패스워드를 찾아내는 방식
• 특정 pw와 매핑되는 해시 알고리즘의 해시값을 미리 만들어 놓는 것 (좀더 빠른 속도로 crack 가능)

 

 

 

 

출처 : 알기사 정보보안기사 실기 이론편 [정일영, 2021]