Password attacks

Thesis title: Útoky na heslá
Author: Ďurovič, Roman
Thesis type: Diploma thesis
Supervisor: Klíma, Tomáš
Opponents: Vaněk, Ladislav
Thesis language: Slovensky
Abstract:
Diplomová práca sa zaoberá politikou hesiel a útokmi na heslá. Hlavným cieľom práce je vykonať penetračné testovanie na heslá prostredníctvom softvéru pre prelomenie hesiel a navrhnúť nápravné opatrenia pre zlepšenie kybernetickej bezpečnosti v testovanej spoločnosti. Ďalšími čiastočnými cieľmi diplomovej práce je analyzovať normy a regulácie, ktoré upravujú heslovú politiku, analyzovať jednotlivé parametre heslovej politiky, analyzovať a porovnať metódy zabezpečenia, akými sú šifrovanie a hashovanie a porovnať softvér Hashcat, ktorý bude použitý pri penetračnom testovaní s iným softvérom, ktorý sa používa na prelomenie hesiel. Ďalším čiastočným cieľom je zmerať približný čas, ktorý je potrebný pre prelomenie hesiel s rôznou dĺžkou, rôznou komplexitou a rôznou hashovacou funkciou a sledovať ako sa tento čas bude meniť. Metódami pozorovania, analýzy a komparácie boli dosiahnuté jednotlivé ciele. Prínosom práce sú navrhnuté nápravné opatrenia na základe identifikovaných zraniteľností, podľa ktorých môže firma postupovať pri zabezpečovaní svojho kybernetického priestoru. Vykonané penetračné testy môžu slúžiť ako poznatok pre ďalšie spoločnosti, ktoré podliehajú rovnakému zabezpečeniu ako testovaná firma a majú záujem o lepšie zabezpečenie svojej spoločnosti z kybernetického hľadiska. Prínosom bolo taktiež objasnenie jednotlivých požiadaviek na zabezpečenie účtov, ktoré musia spoločnosti splniť pre certifikáciu normou ISO 27001 a ostatnými spomenutými. Jednotlivé útoky, ktoré boli vykonané v rámci penetračných testov sú aplikovateľné na rôzne zložité zahashované heslá. Diplomová práca je rozdelená na dve časti: teoretickú a praktickú. Teoretická časť sa zaoberá jednotlivými normami a reguláciami, ktoré upravujú bezpečnostnú politiku spoločnosti, ďalej rámcami, normami a štandardmi, ktoré sú zúžené na prístupové heslá, jednotlivé parametre heslovej politiky a útoky, ktoré sú obsahom MITRE ATT&CK rámca. Odporúčania parametrov heslovej politiky sú rozlíšené na odporúčania NISTu, NÚKIBu a best – practices. V ďalšej časti diplomovej práce je analyzované zabezpečenie testovanej spoločnosti, analyzovaný softvér pre vykonanie penetračných testov a jeho porovnanie s ostatným dostupným softvérom. Následne je analyzované zabezpečenie hesiel pomocou šifrovania a hashovania a komparácia týchto metód. V poslednej časti diplomovej práce je vykonaný penetračný test s doloženými výstupmi a screenshotmi, ktoré dokazujú pravosť vykonaného testu. Súčasťou kapitoly je aj vysvetlenie výsledkov jednotlivých útokov, ktoré autor vykonáva. Záverom tejto časti je návrh nápravných opatrení, ktoré sú definované na základe identifikovaných zraniteľností a majú za cieľ zvýšiť zabezpečenie testovanej spoločnosti. Následne sú zhodnotené výsledky diplomovej práce.
Keywords: parametre hesiel; štandardy a normy; Hashcat; penetračné testovanie; útoky na heslá; kybernetická bezpečnosť
Thesis title: Password attacks
Author: Ďurovič, Roman
Thesis type: Diploma thesis
Supervisor: Klíma, Tomáš
Opponents: Vaněk, Ladislav
Thesis language: Slovensky
Abstract:
The diploma thesis deals with password policy and password attacks. The main objective of the thesis is to perform penetration testing on passwords using password cracking software and propose remedial actions to improve cyber security in the tested company. Other additional goals are to analyze the standards and regulations that govern the password policy, analyze the different parameters of the password policy, analyze, and compare the security methods such as encryption and hashing, and compare the Hashcat software that will be used in penetration testing with other software that is used to crack passwords. Another goal is to measure the approximate time it takes to crack passwords with different lengths, different complexity, and different hashing functions and to observe how this time will change. The observation, analysis and comparison methods were used to achieve each goal of the thesis. The contribution of the thesis is the proposed corrective measures based on the identified vulnerabilities, according to which the company can proceed in securing its cyberspace. The penetration tests conducted can serve as a lesson for other companies that are subject to the same security as the tested firm and are interested in better securing their company from a cyber perspective. It was also beneficial to clarify the various account security requirements that companies must meet for certification by ISO 27001 and the others mentioned. The various attacks that were performed as part of the penetration tests are applicable to a variety of complex hashed passwords. The diploma thesis is divided into two parts: theoretical and practical. The theoretical part deals with the individual norms and regulations that govern the security policy of the company, then the frameworks, norms and standards that are narrowed down to access passwords, individual password policy parameters and attacks that are the content of the MITRE ATT&CK framework. The password policy parameter recommendations are differentiated into NIST, NCISA, and best-practice recommendations. In the next part of the thesis, the security of the tested company is analyzed, the software for performing penetration tests is analyzed and its comparison with other available software is made. Then password security using encryption and hashing is analyzed and a comparison of these methods is made. In the last part of the thesis, a penetration test is performed with documented outputs and screenshots to prove the authenticity of the performed test. The chapter also includes an explanation of the results of the different attacks performed by the author. The conclusion of this section is the proposal of corrective measures that are defined based on the identified vulnerabilities and aim to increase the security of the tested company. Afterwards, the results of the thesis are evaluated.
Keywords: cybersecurity; password parameters; regulations and standards; Hashcat; penetration testing; password attacks
Thesis title: Útoky na hesla
Author: Ďurovič, Roman
Thesis type: Diplomová práce
Supervisor: Klíma, Tomáš
Opponents: Vaněk, Ladislav
Thesis language: Slovensky
Abstract:
Diplomová práce se zabývá politikou hesel a útoky na hesla. Hlavním cílem práce je provést penetrační testování hesel pomocí softwaru pro prolamování hesel a navrhnout nápravná opatření ke zlepšení kybernetické bezpečnosti v testované společnosti. Dalšími dílčími cíli práce jsou analýza norem a předpisů, kterými se řídí politika hesel, analýza jednotlivých parametrů politiky hesel, analýza a porovnání bezpečnostních metod, jako je šifrování a hashování, a porovnání softwaru Hashcat, který bude použit při penetračním testování, s jinými softwary, které se používají k prolamování hesel. Dalším dílčím cílem je změřit přibližnou dobu potřebnou k prolomení hesel s různou délkou, různou složitostí a různými hashovacími funkcemi a sledovat, jak se tato doba bude měnit. K dosažení jednotlivých cílů byly použity metody pozorování, analýzy a porovnání. Přínosem práce je návrh nápravných opatření na základě zjištěných zranitelností, podle kterých může společnost postupovat při zabezpečení svého kybernetického prostoru. Provedené penetrační testy mohou sloužit jako poučení pro další společnosti, které podléhají stejnému zabezpečení jako testovaná firma a mají zájem o lepší zabezpečení své firmy z kybernetického hlediska. Přínosem bylo také objasnění různých požadavků na zabezpečení účtů, které musí firmy splnit pro certifikaci podle normy ISO 27001 a dalších zmíněných. Různé útoky, které byly provedeny v rámci penetračních testů, jsou použitelné pro různá složitá hesla s hashováním. Diplomová práce je rozdělena do dvou částí: teoretické a praktické. Teoretická část se zabývá jednotlivými normami a předpisy, kterými se řídí bezpečnostní politika společnosti, dále pak rámci, normami a standardy, které jsou zúženy na přístupová hesla, jednotlivé parametry politiky hesel a útoky, které jsou obsahem rámce MITRE ATT&CK. Doporučení parametrů politiky hesel jsou rozlišena na doporučení NIST, NUCIB a doporučení best - practices. V další části práce je analyzována bezpečnost testované společnosti, analyzován software pro provádění penetračních testů a provedeno jeho srovnání s ostatními dostupnými softwary. Následně je analyzováno zabezpečení hesel pomocí šifrování a hashování a provedeno srovnání těchto metod. V poslední části diplomové práce je proveden penetrační test s dokumentovanými výstupy a snímky obrazovky, které dokládají pravost provedeného testu. Součástí kapitoly je také vysvětlení výsledků jednotlivých útoků, které autor provedl. Závěr této části tvoří návrh nápravných opatření, která jsou definována na základě zjištěných zranitelností a mají za cíl zvýšit bezpečnost testované společnosti. Následně jsou zhodnoceny výsledky práce.
Keywords: kybernetická bezpečnost; parametry hesel; standardy a normy; Hashcat; penetrační testování; útoky na hesla

Information about study

Study programme: Informační management
Type of study programme: Magisterský studijní program
Assigned degree: Ing.
Institutions assigning academic degree: Vysoká škola ekonomická v Praze
Faculty: Faculty of Informatics and Statistics
Department: Department of Systems Analysis

Information on submission and defense

Date of assignment: 10. 5. 2023
Date of submission: 26. 6. 2024
Date of defense: 7. 10. 2024
Identifier in the InSIS system: https://insis.vse.cz/zp/84581/podrobnosti

Files for download

    Last update: